Beheer

Security
Henk Steenman

AMS-IX heeft oplossing DDoS-probleem banken

Met een simpele bypass blijven vitale diensten in Nederland bereikbaar bij een DDoS-aanval.

Henk Steenman © Public domain (CC0) - AMS-IX
23 februari 2018

Met een simpele bypass blijven vitale diensten in Nederland bereikbaar bij een DDoS-aanval.

DDoS-aanvallen op banken en andere aanbieders van vitale diensten voor de Nederlandse economie zijn vrij eenvoudig af te weren door een directe koppeling te maken tussen deze bedrijven en de eindgebruikers via hun internetaanbieders. Het internetknooppunt AMS-IX doet de partijen een aanbod dat te regelen.

Op het moment van een aanval zou het verkeer over dit apart netwerk (dedicated V-LAN) dat geen verbinding heeft met het internet. Aanvallen vanuit het buitenland hebben daardoor geen effect meer. Mocht de aanval vanuit Nederland komen is het makkelijker de oorsprong op te sporen.

Technisch niet moeilijk

Het idee is niet nieuw, zegt Henk Steenman, CTO van AMS-IX. In 2015 werd al eerder een poging gedaan om een dergelijk Trusted Networks Initiative op te zetten. Toen het bijna rond was, strandde dat initiatief echter doordat enkele deelnemers een andere aanpak wilden nastreven. "Daar is voor zover ik weet nog niks uitgekomen", zegt Steenman. "Dat is jammer want het idee van een speciaal V-LAN is technisch niet moeilijk te realiseren en hoeft niet veel te kosten."

Het verschil met het vorige initiatief is dat AMS-IX het voorstel nu zelf doet en aanbiedt aan de betrokken partijen. Alle internetaanbieders hebben al een aansluiting op de AMS-IX en kunnen dus makkelijk op zo'n V-LAN worden gekoppeld. Voor de aanbieders van vitale diensten is dat niet zo en moet gekeken worden hoe die koppeling kan worden gemaakt. Steenman: "Als zij in een datacentrum aanwezig zijn waar AMS-IX ook zit, is het een kwestie van een glasvezelkabel leggen."

Gewoon proberen

Net als de vorige keer kan er een probleem zijn met uiteenlopende commerciële belangen. Maar de recente problemen met DDoS-aanvallen en de verwachting dat de problematiek alleen maar gaat toenemen, kan een extra stok achter de deur zijn om tot een oplossing te komen. Steenman: "Ik zou zeggen laten we het gewoon proberen."

Er zijn inmiddels al gesprekken gaande met verschillende partijen. De AMS-IX benadert ook verschillende politici vanuit die hoek aan te dringen op de totstandkoming van een oplossing.

Lees meer over
Lees meer over Beheer OP AG Intelligence
1
Reacties
Gijs van Gemert 01 maart 2018 13:30

Een trusted initiatief heeft vind ik niet zoveel zin heeft omdat je er dan vanuit gaat dat al het kwade vanaf (buitenlandse) partijen afkomt die doelbewust aan meewerken aan een aanval. En dat is natuurlijk nooit het geval want de gemiddelde aanval komt vanaf netwerken die zich er niet eens bewust van zijn (en ja dat zijn ook veel Nederlandse ip netwerken). Dus stel dat je het buitenlandse verkeer eruit knipt en je via zo’n initiatief weet door welke peering partijen je wordt aangevallen, dan heeft dat nog geen waarde want deze partijen zullen niet veel kunnen/willen doen (ik spreek uit ervaring). En het gemiddelde bgp netwerk heeft natuurlijk allang goede inzichten van waar een aanval vandaan komt. Netwerken maken in bijna alle gevallen gebruik van verschillende peering en transit aansluitingen waarbij men indien nodig in staat is om ongewenst dataverkeer en/of peering partijen te weren.

Als je naar de meest recente en verwachte toekomstige verwachting van van DDoS aanvallen kijkt dan zal het steeds meer de kant van mixed volume + applicatie laag 7 aanvallen opgaan. Daarbij is het veel belangrijker om de juiste technische infra en menselijke vaardigheden in huis te hebben ipv het wel of niet connecten/peeren met partijen die je vooraf wel of niet vertrouwd. Want om een goede analyse van een aanval te maken wil je juist al het verkeer binnenkrijgen om er vervolgens goed op te kunnen sturen.

Als je kijkt naar de DDoS problemen die de afgelopen tijd het nieuws hebben weten te halen dan waren deze hoogstwaarschijnlijk te voorkomen geweest als men vooraf iets meer aan de infrastructuur aan bescherming had gedaan en ook iets meer kennis in huis had gehad om de aanval te sturen. Het (deels) afsluiten van het internet was daarbij zeker geen oplossing geweest.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.