Een Leider in het 2025 Gartner® Magic Quadrant™ voor Endpoint Protection Platforms. Vijf jaar op rij.Een Leider in het Gartner® Magic Quadrant™Lees Rapport
Ervaart u een beveiligingslek?Blog
Aan de slagContact Opnemen
Header Navigation - NL
  • Platform
    Platform Overzicht
    • Singularity Platform
      Welkom bij de geïntegreerde bedrijfsbeveiliging
    • AI voor beveiliging
      Toonaangevend in AI-Powered beveiligingsoplossingen
    • Beveiliging van AI
      Versnel de adoptie van AI met veilige AI-tools, applicaties en agents.
    • Hoe het werkt
      Het Singularity XDR verschil
    • Singularity Marketplace
      Integraties met één klik om de kracht van XDR te ontsluiten
    • Prijzen en Pakketten
      Vergelijkingen en richtlijnen in één oogopslag
    Data & AI
    • Purple AI
      SecOps versnellen met generatieve AI
    • Singularity Hyperautomation
      Eenvoudig beveiligingsprocessen automatiseren
    • AI-SIEM
      De AI SIEM voor het Autonome SOC
    • AI Data Pipelines
      Beveiligingsdatapijplijn voor AI SIEM en data-optimalisatie
    • Singularity Data Lake
      Aangedreven door AI, verenigd door Data Lake
    • Singularity Data Lake For Log Analytics
      Naadloze opname van gegevens uit on-prem, cloud of hybride omgevingen
    Endpoint Security
    • Singularity Endpoint
      Autonome preventie, detectie en respons
    • Singularity XDR
      Inheemse en open bescherming, detectie en respons
    • Singularity RemoteOps Forensics
      Forensisch onderzoek op schaal orkestreren
    • Singularity Threat Intelligence
      Uitgebreide informatie over tegenstanders
    • Singularity Vulnerability Management
      Rogue Activa Ontdekken
    • Singularity Identity
      Bedreigingsdetectie en -respons voor Identiteit
    Cloud Security
    • Singularity Cloud Security
      Blokkeer aanvallen met een AI-gebaseerde CNAPP
    • Singularity Cloud Native Security
      Cloud en ontwikkelingsbronnen beveiligen
    • Singularity Cloud Workload Security
      Platform voor realtime bescherming van de cloudwerklast
    • Singularity Cloud Data Security
      AI-gestuurde detectie van bedreigingen
    • Singularity Cloud Security Posture Management
      Cloud misconfiguraties opsporen en herstellen
    AI Beveiligen
    • Prompt Security
      AI-tools in de hele organisatie beveiligen
  • Waarom SentinelOne?
    Waarom SentinelOne?
    • Waarom SentinelOne?
      Cybersecurity Ontworpen voor What’s Next
    • Onze Klanten
      Vertrouwd door 's Werelds Meest Toonaangevende Ondernemingen
    • Industrie Erkenning
      Getest en Gevalideerd door Experts
    • Over Ons
      De Marktleider in Autonome Cybersecurity
    Vergelijk SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Markten
    • Energie
    • Overheid
    • Financieel
    • Zorg
    • Hoger Onderwijs
    • Basis Onderwijs
    • Manufacturing
    • Retail
    • Rijksoverheid & lokale overheden
  • Services
    Managed Services
    • Managed Services Overzicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Wereldklasse expertise en Threat Intelligence.
    • Managed Detection & Response
      24/7/365 deskundige MDR voor uw volledige omgeving.
    • Incident Readiness & Response
      DFIR, paraatheid bij inbreuken & compromitteringsbeoordelingen.
    Support, Implementatie & Health
    • Technical Account Management
      Customer Success met Maatwerk Service
    • SentinelOne GO
      Begeleid Onboarden en Implementatieadvies
    • SentinelOne University
      Live en On-Demand Training
    • Services Overview
      Allesomvattende oplossingen voor naadloze beveiligingsoperaties
    • SentinelOne Community
      Community Login
  • Partners
    Ons Ecosysteem
    • MSSP Partners
      Versneld Succes behalen met SentinelOne
    • Singularity Marketplace
      Vergroot de Power van S1 Technologie
    • Cyber Risk Partners
      Schakel de Pro Response en Advisory Teams in
    • Technology Alliances
      Geïntegreerde, Enterprise-Scale Solutions
    • SentinelOne for AWS
      Gehost in AWS-regio's over de hele wereld
    • Channel Partners
      Lever de juiste oplossingen, Samen
    • SentinelOne for Google Cloud
      Geünificeerde, autonome beveiliging die verdedigers een voordeel biedt op wereldwijde schaal.
    Programma Overzicht→
  • Resources
    Resource Center
    • Case Studies
    • Datasheets
    • eBooks
    • Webinars
    • White Papers
    • Events
    Bekijk alle Resources→
    Blog
    • In de Spotlight
    • Voor CISO/CIO
    • Van de Front Lines
    • Cyber Response
    • Identity
    • Cloud
    • macOS
    SentinelOne Blog→
    Tech Resources
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Bedrijf
    Over SentinelOne
    • Over SentinelOne
      De Marktleider in Cybersecurity
    • Labs
      Threat Onderzoek voor de Moderne Threat Hunter
    • Vacatures
      De Nieuwste Vacatures
    • Pers & Nieuws
      Bedrijfsaankondigingen
    • Cybersecurity Blog
      De Laatste Cybersecuritybedreigingen, Nieuws en Meer
    • FAQ
      Krijg Antwoord op de Meest Gestelde Vragen
    • DataSet
      Het Live Data Platform
    • S Foundation
      Zorgen voor een veiligere toekomst voor iedereen
    • S Ventures
      Investeren in Next Generation Security en Data
Aan de slagContact Opnemen
Background image for Border Gateway Protocol (BGP): Een Security-First Gids
Cybersecurity 101/Cyberbeveiliging/Border Gateway Protocol

Border Gateway Protocol (BGP): Een Security-First Gids

Border Gateway Protocol bepaalt via welke netwerken uw verkeer loopt voordat het beveiligingsmaatregelen bereikt. Leer BGP-beveiligingsbest practices en RPKI-implementatie.

CS-101_Cybersecurity.svg
Inhoud
Wat is het Border Gateway Protocol?
Hoe Border Gateway Protocol zich verhoudt tot cybersecurity
Interne versus externe BGP (iBGP vs eBGP)
Kerncomponenten van Border Gateway Protocol
Hoe Border Gateway Protocol werkt
Veelvoorkomende aanvalstechnieken die BGP misbruiken
Belangrijkste voordelen van Border Gateway Protocol
Uitdagingen en beperkingen van Border Gateway Protocol
Veelvoorkomende Border Gateway Protocol-fouten
Border Gateway Protocol Best Practices
Praktijkvoorbeelden van BGP-incidenten
Belangrijkste inzichten

Gerelateerde Artikelen

  • Wat is Session Fixation? Hoe aanvallers gebruikerssessies kapen
  • Ethical Hacker: Methoden, Tools & Carrièrepad Gids
  • Wat zijn adversariële aanvallen? Dreigingen & verdedigingen
  • Wat is Insecure Direct Object Reference (IDOR)?
Auteur: SentinelOne
Bijgewerkt: January 21, 2026

Wat is het Border Gateway Protocol?

BGP bepaalt via welke netwerken uw verkeer loopt voordat het uw beveiligingsmaatregelen bereikt, en aanvallers misbruiken deze routeringslaag om uw gegevens te onderscheppen voordat uw firewallbeveiliging of endpointdetectie deze ooit ziet. NIST SP 800-189 definieert BGP als het routeringsprotocol waarmee verschillende autonome systemen routeringsinformatie kunnen uitwisselen en optimale paden voor internetverkeer kunnen bepalen. Een aanvaller stal ongeveer $235.000 aan cryptovaluta op 17 augustus 2022 door een gerichte BGP-hijack uit te voeren tegen Celer Bridge, waarbij verkeer gedurende ongeveer drie uur werd omgeleid naar door de aanvaller beheerde servers.

CISA noemt BGP "het belangrijkste onderdeel van het internet waar u waarschijnlijk nog nooit van hebt gehoord." Uw firewall beschermt de perimeter. Uw endpointdetectie stopt malware. Maar BGP bepaalt via welke netwerken uw verkeer loopt voordat het deze beveiligingsmaatregelen bereikt, een fundamentele laag die onder de meeste beveiligingsmaatregelen van ondernemingen ligt.

U werkt met een protocol dat gebaseerd is op een fundamenteel onveilig vertrouwensmodel. RFC 4272 stelt dat BGP in wezen een onbeveiligd protocol is. Het protocol mist cryptografische mechanismen om te valideren of het aankondigende autonome systeem IP-prefixen bezit, of routeringspaden authentiek zijn, en of aankondigingen tijdens het transport zijn gewijzigd.

Border Gateway Protocol - Featured Image | SentinelOne

Hoe Border Gateway Protocol zich verhoudt tot cybersecurity

BGP-hijacking stelt aanvallers in staat uw verkeer te onderscheppen voordat uw firewall het inspecteert, waardoor zij zich tussen uw gebruikers en uw perimeterbeveiliging kunnen positioneren. U monitort authenticatiefouten en zoekt naar laterale beweging, maar BGP-hijacking vindt plaats op de routeringslaag voordat uw SIEM-platforms het verkeer zien. Wanneer u BGP-monitoring integreert in platforms zoals Singularity Data Lake, worden routeringsafwijkingen automatisch gecorreleerd met authenticatiefouten en indicatoren van data-exfiltratie.

BGP-beveiliging is belangrijk omdat een compromis op de routeringslaag uw perimeterbeveiliging van de onderneming omzeilt en man-in-the-middle-aanvallen op internetschaal mogelijk maakt. CISA waarschuwt dat BGP-hijacking uw bedrijfsinformatie blootstelt door verkeer om te leiden via door aanvallers beheerde netwerken en staatsniveau-spionage faciliteert. Begrijpen hoe aanvallers BGP misbruiken vereist inzicht in de kernarchitectuur van het protocol.

Interne versus externe BGP (iBGP vs eBGP)

BGP werkt in twee verschillende modi met verschillende vertrouwensmodellen en beveiligingsimplicaties. Externe BGP (eBGP) regelt routering tussen autonome systemen, terwijl interne BGP (iBGP) routeverdeling binnen één AS beheert. Uw beveiligingshouding moet rekening houden met kwetsbaarheden in beide.

eBGP-sessies verbinden routers in verschillende autonome systemen over vertrouwensgrenzen heen. Deze sessies draaien meestal tussen routers aan de netwerkgrenzen waar uw organisatie peert met ISP's, cloudproviders of andere netwerken. eBGP hanteert standaard een TTL van 1, wat betekent dat peer-routers direct verbonden moeten zijn. Aanvallers richten zich op eBGP-sessies omdat het compromitteren van deze verbindingen verkeeronderschepping op internetschaal mogelijk maakt.

iBGP verspreidt routeringsinformatie die is geleerd van eBGP-peers door uw interne netwerk. iBGP vereist volledige mesh-connectiviteit tussen alle BGP-sprekers binnen een AS, of het gebruik van route reflectors en confederaties voor schaalbaarheid. iBGP-sessies wijzigen het AS-pad-attribuut niet, wat betekent dat routes geleerd via iBGP hun oorspronkelijke AS-pad behouden ter voorkoming van loops.

De beveiligingsimplicaties verschillen tussen deze modi:

  • eBGP-sessies overschrijden administratieve grenzen en vereisen strikte filterbeleid
  • iBGP gaat uit van een vertrouwde interne omgeving, wat risico creëert als aanvallers interne netwerktoegang verkrijgen
  • Route reflector-misconfiguraties kunnen slechte routes door uw AS verspreiden
  • iBGP-sessie-hijacking stelt aanvallers met interne toegang in staat routeringsbeslissingen te manipuleren

Uw netwerkbeveiligingsstrategie moet MD5-authenticatie implementeren op alle BGP-sessies, ongeacht het type. De MANRS enterprise primer raadt strikte prefixfiltering aan op elk eBGP-peeringpunt. Voor iBGP: segmenteer route reflector-clusters en monitor op ongeautoriseerde BGP-sprekers binnen uw AS.

Kerncomponenten van Border Gateway Protocol

Drie architecturale elementen creëren de kwetsbaarheden die aanvallers misbruiken in het op vertrouwen gebaseerde ontwerp van BGP: gebrek aan authenticatiemechanismen, impliciet vertrouwen tussen peers en het ontbreken van routevalidatie.

  • Autonome Systemen (AS) vertegenwoordigen onafhankelijke netwerken onder administratieve controle. Uw bedrijfsnetwerk, uw ISP, uw cloudprovider: elk opereert als een autonoom systeem met een uniek AS-nummer.
  • BGP-peering-sessies leggen geauthenticeerde verbindingen tussen routers in verschillende autonome systemen die routeringsinformatie uitwisselen. Deze verbindingen organiseren zich in provider-klant-, peer-to-peer- en klant-providerrelaties, elk met verschillende beveiligingsimplicaties.
  • Routeaankondigingen adverteren IP-adresprefixen naar peer-netwerken. Wanneer uw AS aankondigt "Ik heb de beste route naar 203.0.113.0/24," werken naburige netwerken hun routeringstabellen dienovereenkomstig bij. RFC 4272 bevestigt dat het protocol ervan uitgaat dat peers vertrouwd zijn, zonder mechanismen om routeringsinformatie te valideren. Wanneer u of uw peers syntactisch geldige routeaankondigingen verstuurt, verspreidt BGP deze over het hele internet, ongeacht of deze aankondigingen legitiem of kwaadaardig zijn.

Inzicht in deze architecturale kwetsbaarheden verklaart hoe aanvallers BGP's routekeuzeproces misbruiken om uw verkeer te kapen.

Hoe Border Gateway Protocol werkt

Wanneer aanvallers uw 203.0.113.0/24-prefix specifieker aankondigen dan uw legitieme 203.0.113.0/20-aankondiging, geven routers wereldwijd de voorkeur aan de route van de aanvaller. Dit gebeurt omdat BGP-routekeuze een algoritme volgt dat specificiteit boven autorisatie stelt, een techniek die longest-prefix-match hijacking wordt genoemd.

Routeautorisatiebescherming werkt alleen als downstream-netwerken routes valideren. Als uw upstream-provider geen Route Origin Validation implementeert, kunnen aanvallers uw verkeer nog steeds kapen, zelfs als u geldige ROA's hebt gepubliceerd.

BGP evalueert routes op basis van criteria zoals lokale voorkeur, AS-pad-lengte, oorsprongstype en multi-exit discriminator. Aanvallers kunnen deze parameters manipuleren om verkeer te kapen. NIST SP 800-189 Rev. 1 bevestigt dat BGP is ontworpen zonder ingebouwde cryptografische authenticatiemechanismen.

Veelvoorkomende aanvalstechnieken die BGP misbruiken

Aanvallers misbruiken de op vertrouwen gebaseerde architectuur van BGP via verschillende bekende technieken die uw beveiligingsteam moet herkennen en verdedigen. De juni 2025 root DNS-server hijack waarbij acht servers gelijktijdig werden getroffen, toont aan dat deze methoden zelfs tegen kritieke infrastructuur effectief blijven.

  • Prefix-hijacking vindt plaats wanneer een aanvaller IP-prefixen aankondigt die toebehoren aan een andere organisatie. Het AS van de aanvaller originateert routes voor adresruimte die het niet bezit, en netwerken die geen routevalidatie uitvoeren accepteren deze aankondigingen. Verkeer dat bestemd is voor de legitieme eigenaar stroomt in plaats daarvan naar de aanvaller. Deze techniek maakt diefstal van inloggegevens, gegevensonderschepping en diefstal van cryptovaluta mogelijk.
  • Sub-prefix-hijacking is een meer gerichte variant. Aanvallers kondigen specifiekere prefixen aan dan de legitieme eigenaar. Als uw organisatie 192.0.2.0/23 aankondigt, wint een aanvaller die 192.0.2.0/24 aankondigt de routekeuze omdat BGP de voorkeur geeft aan langere prefixmatches. Het Root Server Operators rapport bevestigt dat aanvallers dit longest-prefix-match gedrag consequent misbruiken.
  • AS-padmanipulatie stelt aanvallers in staat de routekeuze te beïnvloeden door het AS-pad-attribuut kunstmatig te verkorten of te wijzigen. BGP geeft de voorkeur aan kortere paden, dus aanvallers kunnen minder AS-nummers toevoegen om hun kwaadaardige routes aantrekkelijker te maken. Sommige aanvallers voegen legitieme AS-nummers toe aan nep-paden om detectie te omzeilen.
  • BGP-sessie-hijacking richt zich op de TCP-sessies die ten grondslag liggen aan BGP-peeringrelaties. Aanvallers die pakketten in de sessie kunnen injecteren, kunnen verbindingen resetten, valse routes injecteren of routeringsinstabiliteit veroorzaken. TCP-sequentienummer-voorspelling en man-in-the-middle-positionering maken deze aanvallen mogelijk.
  • Route leaks zijn het gevolg van misconfiguratie in plaats van kwaadaardige bedoelingen, maar veroorzaken vergelijkbare beveiligingsimpact. Een netwerk verspreidt routes die van de ene peer zijn geleerd onterecht naar andere peers, in strijd met verwachte routeringsbeleid. MANRS incidentanalyse documenteert hoe deze misconfiguraties Time Warner Cable, Rogers en Charter hebben beïnvloed.

Verdedigen tegen deze technieken vereist gelaagde maatregelen zoals RPKI-implementatie, strikte prefixfiltering, BGP-sessie-authenticatie en continue monitoring op routeringsafwijkingen.

Belangrijkste voordelen van Border Gateway Protocol

BGP biedt routering op internetschaal door coördinatie met onafhankelijke netwerken. RFC 4271 legt uit hoe autonome systemen routeringsinformatie uitwisselen en de beste paden voor internetverkeer bepalen op basis van relaties tussen netwerken.

Padredundantie ontstaat door meerdere aankondigingsbronnen en gedistribueerde routekeuze. Wanneer uw primaire ISP-verbinding uitvalt, convergeert BGP naar back-uppaden via secundaire providers op basis van routemetrics en lokaal beleid.

Granulaire traffic engineering via policy-based routing geeft u controle over beide richtingen van verkeersstromen. Pas AS-pad-prepending toe om inkomend verkeer te beïnvloeden, configureer lokale voorkeurinstellingen voor uitgaand verkeer en implementeer filterbeleid om te voorkomen dat verkeer via mogelijk vijandige netwerken wordt gerouteerd. Deze routeringsmogelijkheden brengen aanzienlijke beveiligingsafwegingen met zich mee die zorgvuldig beheer vereisen.

Uitdagingen en beperkingen van Border Gateway Protocol

Het fundamentele authenticatiegebrek van BGP voorkomt cryptografische verificatie dat het AS dat routes naar uw IP-ruimte aankondigt daadwerkelijk eigenaar is van die adressen. Dit gebrek maakt elke hijack-aanval mogelijk waartegen u zich verdedigt. NIST SP 800-189r1 toont het probleem: BGP-routers accepteren routeringsaankondigingen zonder cryptografische verificatie van oorsprongsauthenticatie, padvalidatie of aankondigingsintegriteit.

De frequentie van incidenten blijft toenemen ondanks toegenomen bewustzijn. Internet2 routing security analyse documenteerde drie significante routeringsbeveiligingsincidenten die alleen al in 2024 onderzoeks- en onderwijsnetwerken troffen, wat aantoont dat BGP-kwetsbaarheden kritieke infrastructuur blijven verstoren.

Het systemische risico creëert afhankelijkheden buiten de controle van een enkele organisatie. De Internet Society beleidsanalyse waarschuwt dat de gedecentraliseerde en onderling verbonden aard van BGP kwetsbaarheden introduceert die kwaadwillenden kunnen misbruiken. Routeringsbeveiliging is afhankelijk van duizenden andere netwerken wereldwijd, waardoor een supply chain-achtige afhankelijkheid ontstaat waarbij enkele BGP-misconfiguraties internationaal kunnen doorwerken. Deze systemische kwetsbaarheden komen tot uiting in specifieke operationele fouten die beveiligingsteams moeten herkennen en voorkomen.

Veelvoorkomende Border Gateway Protocol-fouten

Veel organisaties implementeren RPKI-validatie-infrastructuur maar gaan nooit verder dan monitoring naar handhaving. Het monitoringdashboard toont een prefix die wordt aangekondigd vanuit een ongeautoriseerd AS. De RPKI-validator markeert deze als ongeldig. Maar de alleen-monitoringmodus, maanden geleden geconfigureerd, is nooit overgegaan naar handhaving. Het verkeer wordt gekaapt terwijl het dashboard het probleem weergeeft. NRO RPKI Best Practices vereist het aanmaken van ROA's die exact overeenkomen met wat u aankondigt in BGP en niets meer.

Onvolledige RPKI-implementatie veroorzaakt op meerdere manieren fouten:

  • ROA's aanmaken voor geplande maar niet-aangekondigde prefixen
  • Te ruime maximumlengtewaarden instellen
  • Vergeten ROA's bij te werken wanneer BGP-aankondigingen wijzigen

Deze ROA-misconfiguraties laten prefixen kwetsbaar, zelfs als validatie-infrastructuur aanwezig is. NDSS Symposium onderzoek identificeert systematische uitdagingen die operators verhinderen om van passieve validatie naar actieve handhaving te gaan.

Onvoldoende filterbeleid maakt propagatie van aanvallen mogelijk. CAIDA's MANRS ecosysteemanalyse vond dat RPKI-ongeldige en ongeldig-prefix-lengte BGP-aankondigingen zich verspreiden via netwerken ondanks vastgelegde beveiligingsmaatregelen. Veelvoorkomende hiaten zijn het accepteren van prefixen langer dan /24 voor IPv4, bogonfilters die niet zijn gesynchroniseerd met actuele RIR-allocaties en ontbrekende AS-pad sanity checks. Deze filterhiaten creëren cascaderende kwetsbaarheden in de routeringsinfrastructuur.

Onvoldoende monitoring zorgt ervoor dat incidenten pas na schade worden ontdekt. Zonder waarschuwingen bij wijzigingen in prefix-oorsprong-AS, nieuwe specifiekere aankondigingen die adresruimte overlappen en RPKI-validatiestatusovergangen blijven routeringswijzigingen onzichtbaar. Goede incident response-processen die BGP-telemetrie integreren in uw beveiligingsplatform zijn essentieel. Het vermijden van deze fouten vereist het implementeren van gedocumenteerde best practices voor BGP-beveiliging.

Border Gateway Protocol Best Practices

Resource Public Key Infrastructure-implementatie moet volgen NIST SP 800-189 Revision 1. Maak Route Origin Authorizations aan voor elk IP-prefix dat uw organisatie originateert in BGP en implementeer minimaal twee RPKI-validators voor redundantie.

Route Origin Validation werkt het beste wanneer het gefaseerd wordt geïmplementeerd volgens NRO Best Practices:

  • Monitoringmodus (30-60 dagen): Observeer RPKI-validatieresultaten zonder impact op routering
  • Voorkeursaanpassing (60-90 dagen): Verlaag lokale voorkeur voor RPKI-ongeldige routes
  • Volledige handhaving (90+ dagen): Verwerp ongeldig verklaarde aankondigingen volledig

Strikte prefixfiltering op alle peeringpunten voorkomt veelvoorkomende aanvalsvectoren. Maximale prefixlengte-limieten stoppen specifiekere route-hijacking-aanvallen, gesynchroniseerde bogonfilters blokkeren ongeldig adresruimte en AS-padfiltering voorkomt onrealistische padlengtes of private ASN-lekkage.

Route-mapbeleid moet relatietypen duidelijk coderen. Tag alle BGP-routes met communities die provider-, peer- of klant-oorsprong aangeven.

BGP-monitoringintegratie met uw beveiligingsplatform maakt threat hunting-workflows voor routeringsafwijkingen mogelijk. Configureer waarschuwingen voor wijzigingen in peer-sessiestatus, prefix-oorsprong-AS en RPKI-validatiestatus.

ROA-configuratievalidatie moet continu plaatsvinden met door de regionale internetregistry aanbevolen tools. Change control-processen zorgen ervoor dat ROA-updates voorafgaan aan BGP-aankondigingswijzigingen waar mogelijk. Documenteer en test responsprocedures voor detectie van ongeldige routes en stel incident response-plannen op voor BGP-hijacking-scenario's. Deze best practices bereiden uw organisatie voor om routeringsbeveiliging te integreren in geïntegreerde security operations.

Praktijkvoorbeelden van BGP-incidenten

BGP-beveiligingsfouten hebben aanzienlijke schade veroorzaakt in kritieke infrastructuur, financiële dienstverlening en overheidsoperaties. Deze incidenten tonen aan waarom routeringsbeveiliging dezelfde aandacht vereist als endpoint- en netwerkbescherming.

  • De juni 2025 root DNS-server hijack is het ernstigste recente incident. Volgens het Root Server Operators incidentrapport werden acht root DNS-servers (a, b, c, f, g, h, j en m.root-servers.net) gelijktijdig gehijackt tussen 19:40 en 21:10 UTC. Drie gehijackte prefixen hadden geldige ROA's gepubliceerd in RPKI, maar de aanval slaagde omdat downstream-netwerken geen Route Origin Validation implementeerden.
  • De april 2020 Rostelecom mass hijack trof wereldwijd meer dan 8.000 routes. MANRS incidentanalyse bevestigt dat AS12389 specifiekere routes aankondigde die meer dan 200 CDN- en cloudproviders, waaronder Cloudflare en Akamai, beïnvloedden. Analyse wees uit dat dit het gevolg was van een BGP-optimizer-misconfiguratie en niet van kwaadwillende bedoelingen.
  • Het september 2020 Telstra-incident zag AS1221 bijna 500 prefixen aankondigen in een massale hijacking-gebeurtenis. MANRS documentatie toont aan dat het incident 266 autonome systemen in 50 landen trof, wat aantoont hoe enkele misconfiguraties wereldwijd kunnen doorwerken.
  • De augustus 2022 Celer Bridge-aanval was gericht op cryptovalutagebruikers. Aanvallers stalen $235.000 aan cryptovaluta door verkeer gedurende ongeveer drie uur om te leiden via door de aanvaller beheerde servers.

Deze incidenten delen gemeenschappelijke kenmerken: ze maakten misbruik van het vertrouwensmodel van BGP, troffen organisaties die enkele beveiligingsmaatregelen hadden geïmplementeerd en veroorzaakten schade voordat verdedigers konden reageren. Het patroon onderstreept waarom proactieve dreigingsdetectie en continue BGP-monitoring essentiële onderdelen zijn van bedrijfsbeveiliging.

AI-gestuurde cyberbeveiliging

Verhoog uw beveiliging met realtime detectie, reactiesnelheid en volledig overzicht van uw gehele digitale omgeving.

Vraag een demo aan

Belangrijkste inzichten

U verdedigt zich tegen aanvallen op de routeringslaag met infrastructuur die u niet volledig beheerst. Uw BGP-beveiliging is afhankelijk van duizenden netwerken die validatiecontroles implementeren. Begin met wat u kunt beheersen: implementeer RPKI/ROV in handhavingsmodus, filter prefixen strikt op elk peeringpunt en integreer BGP-monitoring in uw SOC-workflows. De kloof tussen individuele implementatie en collectieve handhaving is waar aanvallers opereren.

Border Gateway Protocol (BGP) Veelgestelde Vragen

BGP-kaping vindt plaats wanneer een aanvaller IP-adresprefixen aankondigt die hij niet bezit, waardoor internetverkeer via hun netwerk wordt geleid in plaats van naar de legitieme bestemming. 

Volgens CISA kunnen deze aanvallen bedrijfsinformatie blootleggen, diefstal en afpersing mogelijk maken en staatsniveau-spionage faciliteren. Deze techniek maakt het mogelijk om verkeer te onderscheppen, inloggegevens te stelen, data te exfiltreren en denial-of-service-aanvallen op internetschaal uit te voeren.

BGP beheert het routeren van verkeer voordat pakketten uw firewalls, endpointdetectie of andere beveiligingsmaatregelen bereiken. Wanneer aanvallers BGP-routes kapen, plaatsen zij zichzelf tussen uw gebruikers en uw verdediging, waardoor man-in-the-middle-aanvallen mogelijk worden die de perimeterbeveiliging volledig omzeilen. 

Routeringsbeveiliging vormt een fundamentele laag die door de meeste enterprise security stacks niet wordt gemonitord.

Organisaties ontdekken BGP-manipulatie door continue monitoring van routeaankondigingen, RPKI-validatiestatuswijzigingen en prefix origin-aanpassingen. 

Implementeer RPKI-validators om de legitimiteit van routes te controleren, abonneer op openbare route collector-feeds van RIPE RIS of RouteViews, en integreer BGP-telemetrie in uw beveiligingsplatform. Stel meldingen in bij onverwachte AS origin-wijzigingen en meer specifieke prefixaankondigingen die uw adresruimte overlappen.

BGP-kaping maakt het mogelijk om inloggegevens te verzamelen via omgeleide authenticatiestromen, data-exfiltratie door het onderscheppen van gevoelige communicatie, diefstal van cryptovaluta via DNS-ketenkapingen, surveillance van gerichte organisaties of individuen, en verstoring van diensten door het zwartmaken van verkeer. 

De Internet Society waarschuwt dat de gedecentraliseerde aard van BGP betekent dat gekaapte routes elke organisatie kunnen treffen waarvan het verkeer het gecompromitteerde pad passeert.

RPKI maakt cryptografische certificaten aan die IP-prefixen koppelen aan geautoriseerde origin-autonome systemen. Wanneer u Route Origin Validation implementeert, weigeren uw routers BGP-aankondigingen waarbij de origin AS niet overeenkomt met de cryptografisch ondertekende ROA. 

Een aanvaller die uw prefixen aankondigt vanaf een niet-geautoriseerde AS wordt geblokkeerd. Bescherming vereist echter zowel het aanmaken van ROA's door prefix-eigenaren als het afdwingen van ROV door transitnetwerken. Geldige ROA's zijn onvoldoende als peernetwerken niet valideren.

BGP-hijacking houdt in dat ongeautoriseerde IP-prefixen opzettelijk worden aangekondigd om verkeer te onderscheppen. Routelekkages vormen een afzonderlijke dreiging waarbij netwerken routes die ze van een peer hebben geleerd, onjuist doorgeven aan andere peers. 

Hoewel routelekkages meestal het gevolg zijn van een misconfiguratie in plaats van kwaadwillende bedoelingen, is de beveiligingsimpact functioneel gelijk omdat verkeer alsnog via ongewenste en mogelijk vijandige netwerken wordt omgeleid.

Ja, maar met afhankelijkheden van upstream-providers. Als u provider-toegewezen adresruimte gebruikt, stem dan met uw ISP af om ROA's aan te maken onder hun RIR-account. 

Leg ROA-beheerafspraken schriftelijk vast, met name dat het verwijderen van een ROA de autorisatie wereldwijd binnen enkele minuten ongeldig maakt. Focus op monitoring-, filter- en validatiecontroles binnen uw operationele bevoegdheid.

RPKI-implementatie bestaat uit twee onderdelen: het publiceren van Route Origin Authorizations (ROA's) voor uw prefixen en het afdwingen van Route Origin Validation (ROV) op binnenkomende routes. Veel organisaties voltooien de eerste stap, maar niet de tweede. 

Zelfs wanneer u geldige ROA's publiceert, blijft uw verkeer kwetsbaar als transitnetwerken tussen u en uw bestemming geen validatie afdwingen. Dit collectieve actieprobleem betekent dat BGP-beveiliging gecoördineerde implementatie vereist binnen het routeringsecosysteem.

Stel een gefaseerde aanpak op voor BGP-beveiligingsmonitoring op basis van NIST SP 800-189 Rev. 1-richtlijnen. Begin met het implementeren van Route Origin Validation in monitoring-only modus om basiszichtbaarheid te verkrijgen. 

Behandel BGP-hijacking en onverwachte prefix origin-wijzigingen als meldingen met hoge prioriteit die onmiddellijke analyse vereisen, omdat deze aanvallen man-in-the-middle interceptie op het routeringsniveau mogelijk maken.

Organisaties kunnen BGP-monitoring inzetten via RPKI-validators, route collectors en beveiligingsplatforms die netwerktelemetrie verwerken. Publieke bronnen zoals RIPE RIS en RouteViews bieden wereldwijde routeringsinzichten. 

Voor bedrijfsomgevingen maakt integratie van BGP-monitoringdata in uw beveiligingsplatform correlatie met endpoint- en identiteitsevenementen mogelijk.

Ontdek Meer Over Cyberbeveiliging

IT versus OT-beveiliging: Belangrijkste verschillen & best practicesCyberbeveiliging

IT versus OT-beveiliging: Belangrijkste verschillen & best practices

IT- en OT-beveiliging bestrijken twee domeinen met verschillende risicoprofielen, compliance-eisen en operationele prioriteiten. Ontdek de belangrijkste verschillen en best practices.

Lees Meer
Wat zijn Air Gapped Backups? Voorbeelden & Best PracticesCyberbeveiliging

Wat zijn Air Gapped Backups? Voorbeelden & Best Practices

Air Gapped Backups houden ten minste één herstelkopie buiten het bereik van aanvallers. Lees hoe ze werken, de verschillende typen, voorbeelden en best practices voor herstel na ransomware.

Lees Meer
Wat is OT-beveiliging? Definitie, uitdagingen & best practicesCyberbeveiliging

Wat is OT-beveiliging? Definitie, uitdagingen & best practices

OT-beveiliging beschermt industriële systemen die fysieke processen aansturen binnen kritieke infrastructuur. Behandelt Purdue Model-segmentatie, IT/OT-convergentie en NIST-richtlijnen.

Lees Meer
Cybersecurity in de overheidssector: risico's, best practices & raamwerkenCyberbeveiliging

Cybersecurity in de overheidssector: risico's, best practices & raamwerken

Bekijk welke risico's en dreigingen overheidsinstanties en -organisaties tegenkomen op het gebied van cybersecurity. We behandelen ook de best practices voor het beveiligen van overheidssystemen. Lees verder voor meer informatie.

Lees Meer
Ervaar het meest geavanceerde platform voor cyberbeveiliging

Ervaar het meest geavanceerde platform voor cyberbeveiliging

Ontdek hoe 's werelds meest intelligente, autonome cyberbeveiligingsplatform uw organisatie vandaag en in de toekomst kan beschermen.

Vraag een demo aan
  • Aan de slag
  • Vraag een demo aan
  • Product Tour
  • Waarom SentinelOne
  • Prijzen & Pakketten
  • FAQ
  • Contact
  • Contact
  • Support
  • SentinelOne Status
  • Taal
  • Platform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support Services
  • Markten
  • Energie
  • Overheid
  • Financieel
  • Zorg
  • Hoger Onderwijs
  • Basis Onderwijs
  • Manufacturing
  • Retail
  • Rijksoverheid & lokale overheden
  • Cybersecurity for SMB
  • Resources
  • Blog
  • Labs
  • Case Studies
  • Product Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • Whitepapers
  • Pers
  • Nieuws
  • Ransomware Anthology
  • Bedrijf
  • Over SentinelOne
  • Onze klanten
  • Vacatures
  • Partners
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle rechten voorbehouden.

Privacyverklaring Gebruiksvoorwaarden

Dutch