Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 53 reacties
Submitter: CyberDonky

Verschillende Nederlandse ondernemingen, waaronder providers en banken, werken aan een 'vertrouwd internet' om zo kritieke infrastructuur te beschermen tegen ddos-aanvallen. Daardoor zou een massale cyberaanval het land niet in een klap lam kunnen leggen.

Het gaat vooralsnog om een concept, dat de ondernemingen momenteel het Trusted Networks Initiative noemen. Feitelijk gaat het om een gedeeld netwerk dat tijdelijk van het wereldwijde web kan worden afgesloten zodra er een massale cyberaanval plaatsvindt. Deelnemers kunnen daarna dankzij dit 'vertrouwde internet' hun kritieke infrastructuur in de lucht houden, zo verwachten ze.

De deelnemende organisaties claimen dat niemand het netwerk centraal beheert. Op die manier zou het afsluiten van het netwerk van het internet niet top-down, maar bottom-up plaatsvinden. De organisaties menen zo dat kwaadwillenden de informatiestromen binnen het netwerk niet direct kunnen beïnvloeden.

Voor de organisaties is het vertrouwde domein bereikbaar via een dedicated vlan-112. Daarnaast is een dedicated routeserver geconfigureerd bij de internetexchanges NL-ix en AMS-ix, zo valt er te lezen bij de technische omschrijving. Tijdens een tijdelijke afsluiting kunnen internetgebruikers die geen deel uitmaken van het netwerk, de sites van de deelnemende partijen niet bereiken.

Voorlopig is het Trusted Networks Initiative een Nederlands project. Er doen onder andere banken als de Rabobank en ING aan mee. Daarnaast ondersteunen onder andere Logius, SIDN, Surfnet, XS4ALL, National Cyber Security Centre en Dutch Datacenter Association het project. Organisaties die mee willen doen, kunnen zich aanmelden.

Met het initiatief moeten ddos-aanvallen in de toekomst minder schade aanrichten. Vooralsnog zijn veel Nederlandse instellingen daar geregeld nog het slachtoffer van. In februari lagen onder andere de sites van de Rijksoverheid en bij Telfort eruit door zulke aanvallen.

Moderatie-faq Wijzig weergave

Reacties (53)

Wat leuker zou zijn, is als een IX als Ams-ix gewoon degelijke blackholing functionaliteit zou gaan aanbieden. Hiermee zou je bijvoorbeeld kunnen zeggen dat je alle peers het verkeer bestemd voor 1 specifieke IP mogen droppen. Transits doen dit al jaren, en ook bijv. DE-CIX biedt dit al tijden aan.

Inmiddels hebben we BGP FlowSpec waarmee je tegen andere routers/peers heel specifiek aan kan geven wat voor traffic zij wel/niet moeten doorgeven (bijv. geen NTP packets groter dan X bytes). Het zal alleen nog wel even duren voordat het gros van de amsix deelnemers dat ondersteunt :(
Als iedere isp/carrier ter wereld zijn eigen criteria gaat bedenken om verkeer te blokkeren dat zal de connectiviteit wereldwijd niet ten goede komen. Overigens vraag ik me af hoeveel latency er bij komt als er straks op duizenden verschillende criteria gefilterd word op core routers.

Trusted network klinkt heel fancy maar wat als de hosts op dat "trusted network" compromised zijn en zelf (deels) de veroorzaker zijn ligt dat ook plat.

Tevens vraag ik mij af hoe beheer je een trusted network wanneer de uplink naar het internet is uitgeschakeld? tripje naar het dc?
Persoonlijk ben ik van mening dat het nooit 100% mogelijk zal zijn om ddos aanvallen te voorkomen, de truc zal altijd goed opletten en zsm handelen blijven.
Meh, is het echt zo'n probleem als binnenlands verkeer een hogere prioriteit krijgt? Binnen Nederland kan je nog een keer afdwingen dat iedereen tenminste BCP38 implementeert en dat de DNS servers goed zijn ingesteld.

[Reactie gewijzigd door Pinkys Brain op 29 april 2015 03:52]

Maar de topo hier lijkt te zijn dat ze juist niet willen dat het verkeer "met bestemming" wordt gedropt, maar het verkeer "vanaf source", de omgekeerde situatie.
Blackhole van een IP zorgt alsnog voor downtime, en heeft effectief als resultaat dat de DDoS alsnog geslaagd is; terwijl andere mensen op dezelfde pipe geen last meer hebben.

Het lijkt erop dat ze dat proces dus juist willen omkeren, ze willen "source" verkeer blokkeren, terwijl "destination" niet in de blackhole wordt gedonderd. Op die manier zijn de aanvallende partijen wel geblokkeerd, en waarschijnlijk met heel erg veel "collateral damage" als gevolg (maar dat kan ook niet anders als je aangevallen wordt door een godsvermogen aan zombies), maar blijft de host zelf online voor verkeer waarvan ze verwachten dat het grotendeels legitiem gaat zijn.
Het helemaal stoppen zal waarschijnlijk niet lukken, maar een DDoS van 1GBit verwerken is nog altijd een stuk makkelijker dan 20Gbit; om maar wat te noemen. :)

Als je tegen alle peers zegt "drop al het verkeer naar destination x", dan kan er ook geen (semi-)legitiem verkeer meer doorheen; dus ook niet van bepaalde ranges die "trusted" zijn van die peers. Als je dat selectief doet is het ander verhaal natuurlijk, dus bepaalde peers die opdracht geven... Dan kan het in principe wel wat je omschrijft; maar dan is het alsnog eerder een block van source dan destination, vind ik.

[Reactie gewijzigd door WhatsappHack op 28 april 2015 19:14]

Ik weet niet of ik dit nu goed begrijp:
Tijdens een tijdelijke afsluiting kunnen internetgebruikers die geen deel uitmaken van het netwerk, de sites van de deelnemende partijen niet bereiken.
Er van uitgaande dat die internet gebruikers wij zijn als klanten van een bank. Dan kunnen we tijdens die DDOS de bank niet meer bereiken. Dat is toch precies het doel, ook al heeft die bank er dan op dat moment zelf geen last van?
Dit zal vermoedelijk afhankelijk zijn van het eventueel meeliften van ons als gebruiker op de trusted status van onze provider. Indien de providers binnen het vertrouwde netwerk vallen, en wij als gebruiker van deze provider hiermee automatisch ook een trusted status verkrijgen, dan zullen de gebruikers van de aangesloten providers nog wel toegang kunnen verkrijgen.

Vermoedelijk zal er ook nog een verdere opdeling te maken zijn in trusted vs. niet trusted. In de "technische omschrijving" welk tweakers.net linked zie je ook diverse smileys terug van trusted naar minder trusted, van erg blij, naar erg boos.

Qua bank bereikbaarheid denk ik bijv. dat in termen van trusted er bijv. gedacht kan worden aan:

Trusted : ideal payment
Semi-trusted : Nederlandse gebruiker
Non-trusted : Buitenlandse gebruiker

Waarbij bij problemen van onder naar boven de "brug opgehaald" kan worden zoals de technische omschrijving het weergeeft.
Inderdaad. Ik zie het voordeel ook niet zo. Als het nu al zo is dat een DDOS op de website van bv de Rabobank ook het onderling bankverkeer stil kan leggen is er fundamenteel al iets heel erg goed mis.
Het klinkt eerder van dat ze alles buiten nederland blokkeren en mensen die onder nederlandse internet maatschappijen vallen dat die de banken wel kunnen bezoeken.
Dat zal niet het geval zijn, onderling verkeer tussen banken gaat niet over internet en de achterliggende systemen hebben er ook geen connectie mee.

Banken communiceren onderling uitsluitend over Swift of SFTP (via Equens) met elkaar via dedicated lijnen.
Ik denk dat anti-ddos bij de datacenters moet liggen en niet bij de providers. Dat er een datacenter meedoet is heel leuk, maar daar heeft men niet genoeg aan. Er moet gewoon meer rekening mee gehouden worden. Het omleiden van de traffic kan een oplossing zijn, maar dit moet dan wel snel afgehandeld worden. Het is al erg jammer dat er in Nederland geen goede anti-ddos providers zijn die de kwaliteit kunnen leveren voor een prima prijs, dit zal veel bedrijven aanmoedigen om hier rekening mee te houden.

Toch blijf ik zeggen dat veel datacenters een voorbeeld moeten nemen aan OVH (France) om zo ddos aanvallen tegen te gaan. Netwerk uptime garantie van 99.9% (Niet hardwarematig, wel het netwerk) dit is wat we willen zien overal. Er is zware apparatuur voor nodig, maar met een paar ms latency ben ik tevreden.

Nog even een linkje voor de info: https://www.ovh.nl/anti-ddos/

[Reactie gewijzigd door Tombastic op 28 april 2015 19:46]

OVH doet het niet eens per se met zeer geavanceerde apparatuur, althans: het is wel geavanceerd, maar niet per definitie speciaal.

Die doen eigenlijk hetzelfde als alle andere CDN providers, zoals CloudFlare, alleen is het grote voordeel bij OVH dat je IP addres naar buiten toe van de server zelf beveiligd is en je er dus niet omheen kan. Bij CloudFlare is het zo dat de IP's van CloudFlare aangevallen worden bij een aanval, en die flikkert al het foute verkeer naar een buffer netwerk met gigantisch veel gbit aan capaciteit. Maar als het echte IP van de server wordt ontdekt: dan heeft heel dat CloudFlare totaal geen nut. En vaak wordt dat ook ontdekt, het aantal mensen die MX records en DC of wildcard DNS entries laten staan of zelfs een phpinfo(); bestandje op hun docroot publiek laten staan is weerzinwekkend... :/ En dat zie je zelfs bij die gasten die honderden dollars per maand naar cloudflare overboeken, om je rot te lachen. :')

Bij OVH is het echte IP altijd zichtbaar, kan dat echte IP aangevallen worden: maar bereik je nog geen reet omdat dat IP zelf nog in het CDN zit. Dat is een stuk prettiger, omdat je bij cloudflare geen bescherming hebt voor de "origin" zoals zij het noemen; bij OVH is dat wel het geval.

Meerdere server providers bieden dat tegenwoordig aan trouwens, met een minimale gegarandeerde throughput die je wel kan leveren bij een aanval. :)

[Reactie gewijzigd door WhatsappHack op 29 april 2015 01:03]

Dat kunnen ze dus niet garanderen.
Dit is puur gokken dat ze de dikste pijp hebben, mocht dat anders blijken zullen ze het wel op overmacht gooien.
Dat is met al die diensten zo natuurlijk; maar we hebben het over echt hele dikke pijpen.
Zowel OVH als CloudFlare hebben vaak bewezen zeer grote aanvallen te kunnen verwerken.
http://www.darkreading.co...aks-record/d/d-id/1113787

Dit is geen gokken. Een DDOS van 400gbit is al best netjes.
Het is de manier van afhandelen, de enige manier die evt. ook mogelijk is, is om op elk punt waar alle internetverbindingen binnenkomen per plaats te voorzien van anti-ddos apparatuur en dat de personen, waar dit iig vandaan komt, worden afgesloten. Hard, maar als het een botnet is of evt. een bron, dan kan kpn, xs4all, ziggo etc. verhaal halen.

Nog even los, ik gebruik bij ovh geen CDN. Dit ip staat ook niet in een CDN, wel bij de webhostingpakketten. Bij mijn webservers (dedicated) absoluut niet. Ze kunnen het wel verdelen over de Pops (port 80). Een content delivery network heeft zijn voordelen om te cachen in diverse landen, dit is makkelijk om een website in de lucht te houden. Ik praat echt even over een complete server.

CloudFlare is ook een CDN, die de website zal cachen, maar hierachter zit bijv het "bron" ip adres die je van OVH hebt gekregen. Achter dat ip adres van OVH zit geen ander ip adres. Hierop kom je gewoon direct door de firewall/router de server op.

OVH is een CDN provider, als je webhosting aanschaft, niet voor een dedicated webserver voor de zakelijke markt. Dit zal op een andere manier worden afgehandeld.

Voor meer info (zonder CDN) kan je de pagina bekijken, hierop kreeg OVH de DDoS vorig jaar. Niet op een CDN netwerk! https://www.ovh.nl/anti-ddos/
Het is puur hardware en strategie om het af te handelen.

[Reactie gewijzigd door Tombastic op 29 april 2015 16:55]

Dus binnen korte tijd zullen alle providers aangesloten zijn bij dit initiatief en als trusted aangewezen worden. Vervolgens worden klanten van de providers gehackt en in een botnet opgenomen en beginnen de ddos aanvallen vanaf de trusted kant.

Ja goed, je kunt wat Chineese providers blokkeren etc.. maar die kun je nu ook al redelijk eenvoudig filteren bij een ddos aanval.

Ik zie het niet...
Als interne servers bij een bank gehackt worden en in een botnet opgenomen worden, dan hebben ze wel wat grotere problemen dan een DDoS aanval...
Uh nee, ze willen normale ISP's zoals XS4ALL en Ziggo aansluiten waardoor hun klanten trusted worden. We hebben het dan over normale internet gebruikers en niet over servers bij een bank.
Dat staat niet in het artikel. Het is mogelijk om dat te doen, maar als ook daar grote aanvallen vandaan komen, lijkt het me niet dat de klanten zondermeer in het trusted netwerk segment zitten. ;) Er staat dat het gaat om kritieke delen online te houden, over het algemeen houdt dat vaak in "voor onszelf" en "voor zakelijke klanten".

Voor de consument lijkt het me stug dat ze zomaar ALLE klanten van al die providers standaard als "trusted" zetten. Waarschijnlijk zullen die bij een aanval in eerste instantie inderdaad nog erdoor kunnen als de opzet goed is, als een semi-trust, maar als het ook daar mis gaat dat knikkeren ze dat waarschijnlijk zonder pardon in de non-trusted sectie...

Nergens wordt beschreven dat klanten van de providers het recht blijven hebben er altijd bij te komen, het suggereert dat het geprobeerd wordt; maar dat het toch voornamelijk er om gaat dat er een verbinding mogelijk blijft voor de kritieke infra zelf; niet perse naar klanten.

[Reactie gewijzigd door WhatsappHack op 29 april 2015 16:19]

Geen perfecte oplossing, not by a long shot. Ken je Cloudflare? Dat is een hostingbedrijf dat ook DDoS bescherming biedt, met veel meer digitale paardenkracht dan een simpele 3-domeins load balancing. En dat hostingbedrijf is al een aantal keer neergehaald.

Als simpel loadbalancing het antwoord was, hadden we het probleem al vele jaren geleden opgelost.
Het echte werk zit bij prolexic (2Tb ddos protectie op akamai), kost wat maar is gewoon beschikbaar, snap ook niet waarom het wiel opnieuw uitgevonden moet worden.
Nou, als het om banken gaat; dan kan ik me er wel bij voorstellen dat ze zo min mogelijk derde partijtjes er tussen willen hebben zitten die met het verkeer mee kunnen kijken. ;)
Voor SSL bij CloudFlare en dergelijken moet je gewoon je private key overhandigen, anders werkt 't niet. Cloudflare kan vervolgens al het verkeer decrypten. Nee, dat is bij een bank echt een heel veilig gevoel, whehe. ;)

Ik denk dat ze prima op de hoogte zijn van dit soort oplossingen, maar toch liever iets anders kiezen voor verhoogde veiligheid. Misschien omslachtig... Maar wel veiliger. En dat is wel zo prettig om te horen van een bank.
Ik vind dit eng dicht in de buurt van de aantasting van de netneutraliteit komen. Ik zie de goede achtergrond wel, maar een tweede netwerk bereikbaar vanaf je internet provider... maar niet door middel van gewone pearing is precies waarom we netneutraliteit regels hebben.
Dat heeft niets met netneutraliteit te maken...
Als ik alle IP adressen van de reeks 123.456.789.0/24 wil toestaan en de rest absoluut niet, dan mag ik dat helemaal zelf weten... Schend ik totaal geen netneutraliteit regels mee.

C'mon, anders zou je geen eens een firewall mogen hebben of uberhaupt een bepaalde DDoS aanval tegengaan: want tja, je laat (likely) legitieme TCP pakketjes door, maar je dropt wel al het UDP verkeer: schande!! ;) Zo werkt het niet. :)

Netneutraliteit is dat je verschillende diensten niet mag discrimineren in de doorgifte, maar je mag nog altijd zelf bepalen met wie je peert, hoe je jezelf verbindt en wie er wel en geen toegang mogen tot jou netwerk.

[Reactie gewijzigd door WhatsappHack op 29 april 2015 01:08]

Wat is een vlan-112?
Een vlan wat in dit geval nummertje 112 heeft (wat natuurlijk gekozen is naar het Europese noodnummer).
Heb laatst een veel interessantere oplossing gelezen dat ook in Nederland wordt ontwikkeld.

Met noemde het een 'was straat' waarbij het mogelijk is om ip's die last van een DDoS ondervinden via aangepaste BGP routes langs een hoop networking hardware te sturen die speciaal bedoeld is om DDoS verkeer uit te filteren. Zo hebben ze een gigantische straat die elke DDoS makkelijk kan afslaan, maar je hoeft die niet voor elke klant neer te zetten, waardoor het betaalbaar blijft. Dit is een samenwerking tussen ISP's en grote colo partijen en heeft wat mij betreft best potentie.
http://www.nbip.nl/dienst...d-beveiliging-tegen-ddos/
Deze bedoel je?
En ja, dat is inderdaad een mooi initiatief, maar heeft alleen zin voor targets binnen Nederland (bij een internationale partij zou je dan eerst al je verkeer naar Nederland moeten trekken, door de wasstraat en daarna weer naar de bestemming).
Het "probleem" is dan echter dat de DDoS al een heel stuk over het internet gereisd heeft en potentieel verbindingen bij de internationale upstreams blijft belasten. Een DDoS bestrijden bij/in de buurt van het target is op zich mooi voor het target, maar daarmee los je nog niet de problemen op die het veroorzaakt in de internet backbone.
En voordat iemand roept "ja maar die verbindingen zijn toch dik genoeg?!": Klopt, die hebben wel de nodige ruimte, maar als er een DDoS van enkele tientallen Gbps voorbij komt dan gaat elke provider daad wel last van hebben.

Kortom: Ja, mooi initiatief, en het helpt een hoop om de symptomen te bestrijden, maar het is verre van een oplossing voor het probleem helaas.
Maar maakt dat niet een groot doelwit voor zichzelf? Stel dat je mensen wil pesten, dan kan je dus vast wel met een gerichte aanval een afsluiting van het beschermde netwerk triggeren, of erger, je kan je in dat netwerk zien te koppelen (bijv door een PoP te kraken of een systeem dat al in dat netwerk hangt) en dan kan je tijdens een lockdown doen wat je wil om dat er toch niemand van buiten af mee kan kijken. Dat maakt misschien het aanvalsoppervlakte tijdens een lockdown kleiner, maar ook de middelen en controles van buiten af.
O mijn God. Komen ze in 2015 plots op het idee om kritieke systemen enkel en alleen op een privé netwerk aan te sluiten? Ben ik de enigste met een wtf-momentje?

Wel goed om te weten dat ze op z'n minst qua advies de juiste partijen aan tafel hebben.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True