Knopen in het internet

In Nederland zit het grootste knooppunt ter wereld voor internetverkeer Dat is de Amsterdamse AMS-IX Maar wat is dat eigenlijk ? En kun je ’t makkelijk aftappen?

Foto Thinkstock, fotobewerking nrc Fotodienst

Verslaggever

2,5 terabit aan internetverkeer, vergelijkbaar met zo’n 70.000 muzieknummers, wordt er op drukke momenten elke seconde doorheen gepompt. Het grootste internetknooppunt ter wereld staat in Nederland: de Amsterdam Internet Exchange (AMS-IX). Maar de voorgenomen uitbreiding van de internet exchange naar de VS is controversieel. Aangesloten bedrijven vrezen dat al hun data bij de NSA terechtkomt.

Wat is een internet exchange nou eigenlijk? En wat maakt die in Amsterdam zo bijzonder? Tijd voor een bezoek.

Enorme routers

Een rotonde, daarmee kun je een internet exchange het beste vergelijken. Het rondje dat je rijdt is de internet exchange zelf, elke afslag is een aangesloten bedrijf: internetproviders zoals Ziggo, gamebedrijven zoals EA en internetbedrijven zoals Facebook. Met één verbinding naar Amsterdam kunnen de 617 bedrijven die op dit moment op AMS-IX zijn aangesloten in theorie met de 616 andere aangesloten partijen verkeer uitwisselen. Dat is aantrekkelijk, het alternatief is op eigen houtje 616 losse kabels naar die bedrijven leggen. Dat is kostbaar én inefficiënt.

Het knooppunt staat niet op één plek, maar is verspreid over twaalf datacentra in Amsterdam. Het verkeer dat door de exchange gaat groeit met 40 procent per jaar, vertelt Henk Steenman, technisch directeur van AMS-IX. „De capaciteit moet meegroeien. Gemiddeld komt er elk jaar een locatie in Amsterdam bij.”

De apparatuur bestaat voornamelijk uit routers en net als bij het kastje thuis gaan daar netwerkkabels in. Maar deze routers zijn zo groot als een koelkast met vriesvak erboven en er zitten tientallen glasvezelkabels in. De router doet niet meer dan het verkeer dat uit de ene kabel komt naar de andere kabel doorsturen. Een bedrijf als KPN of UPC heeft maar één kabel nodig. Dat is genoeg, er kan 100 gigabit per seconde doorheen – ruim 2.500 liedjes.

In 1997 werd de (non-profit)vereniging Amsterdam Internet Exchange opgericht door twintig leden, waaronder SURFnet en KPN, maar ook internationale partijen zoals AT&T en Telecom Finland. Concurrenten ja, maar ze hadden er allemaal baat bij dat het internet snel en goedkoop was. Dat er in Nederland zeekabels voor het internet aan land komen was een van de redenen dat direct veel internationale leden zich aansloten.

„En het liberale karakter van AMS-IX”, zegt Steenman. Als je bij AMS-IX wil aansluiten, hoef je ‘maar’ aan een paar voorwaarden te voldoen: je moet een bedrijf zijn, een contract met AMS-IX aan willen gaan en je moet een zogenaamd autonomous system number hebben – een soort adres voor je netwerk. „Andere internet exchanges hadden ook nog allerlei andere voorwaarden.” Zo mochten in Londen in eerste instantie alleen internetproviders aansluiten, gamebedrijven niet. Bovendien hadden exchanges in Londen en Frankfurt in het begin genoeg aan leden in eigen land. Ondanks de snelle groei werken er verrassend weinig mensen bij AMS-IX: 44, waarvan de helft techneut.

AMS-IX goes America

Het gaat dus goed met AMS-IX. Zo goed, dat het in 2012 internet exchanges op Curaçao (AMS-IX Caribbean) en in Hong Kong (AMS-IX Hong Kong) opende. Elk van deze locaties is onafhankelijk, er gaan geen lijntjes naar Amsterdam. Er wordt nu gewerkt aan Afrikaans ‘filiaal’, in Mombassa, Kenia, en voor het einde van het jaar moet de internet exchange in de Verenigde Staten klaar zijn.

Over de eerste uitbreidingen hoorde je geen van de aangesloten bedrijven klagen. Maar over de gang naar de VS maakten ze zich veel zorgen. Het heeft alles te maken met de afluisterpraktijken van de NSA, en de veel lossere privacywetgeving in de VS. Het verkeer over AMS-IX in de VS zal onder de Patriot Act vallen, waardoor data die door het knooppunt gaan desgevraagd aan de Amerikaanse overheid gegeven moeten worden.

Critici zoals Bart Jacobs, hoogleraar Digitale Veiligheid in Nijmegen, zeggen dat AMS-IX met de uitbreiding ook hun internetverkeer in Nederland onder de Patriot Act plaatst. In de Patriot Act staat dat ook gegevens van buiten de VS onder de Amerikaanse wet vallen als het bedrijf een filiaal in de VS heeft.

Dat wil AMS-IX, net als haar leden, niet. Volgens advocaten die AMS-IX adviseerden is de kans klein dat de Amerikaanse overheid daadwerkelijk bij de exchange aanklopt, omdat een exchange zelf geen controle over de inhoud van het verkeer heeft. Alleen leden van AMS-IX weten wat iemand met zijn internetverbinding thuis doet. Dáár moet de overheid dus aankloppen, zegt Steenman.

Toch werd vorige week bekend dat de NSA de kabels uit datacentra van Google en Yahoo aftapt. Hoewel daarbij ook lang niet al het verkeer van een persoon wordt onderschept, is die methode blijkbaar toch interessant. Afgelopen zomer was in het nieuws dat Duitse veiligheidsdiensten een deel van het verkeer via de internet exchange in Frankfurt aftappen.

Om extra te zorgen dat het Nederlandse internetverkeer niet onder Amerikaanse wetgeving valt, is er een aparte BV opgericht waarvan AMS-IX in Nederland aandeelhouder is. Daarmee komt AMS-IX in de VS juridisch verder van die in Amsterdam af te staan. Het is geen ‘filiaal’ meer, maar een dochterbedrijf. Hiermee zou de Patriot Act niet langer voor de AMS-IX in Amsterdam gelden.

Aftappen? Niet hier, zegt AMS-IX

Bestaat er geen risico dat er bij AMS-IX in Nederland zelf wordt getapt? Afgelopen weken werd duidelijk dat de NSA ook in Nederland telefoonverkeer tapte. De Nederlandse overheid tapt met toestemming van het OM regelmatig het internetverkeer van personen af. De politie is zelfs lid van AMS-IX om het verkeer van verdachte personen van internetproviders te kunnen ontvangen.

Maar massaal afluisteren, dat gebeurt niet bij de AMS-IX, zegt Steenman vol vertrouwen. „Een kwart van het Nederlandse internetverkeer gaat door onze exchange. Dat betekent dat er nog veel meer langs gaat. Dus als je al het verkeer van een persoon wilt onderscheppen, kun je beter bij een provider aftappen.”

De AIVD probeert op dit moment te onderzoeken of de NSA ook in Nederland internet aftapt. Volgens een brief van diverse ministers aan de Tweede Kamer vorige maand „zijn daar nu geen aanwijzingen voor”.

Over beveiliging van de infrastructuur tegen hackers is Steenman een stuk minder spraakzaam. „Ja, dat wordt beveiligd”, wil hij alleen kwijt. Op de vraag tegen welke bedreigingen AMS-IX aanloopt komt geen antwoord. „Ik wil geen uitnodiging de krant in sturen om van alles te gaan proberen.”