Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

AMS-IX wil Trusted Network Initiative na ddos-aanvallen nieuw leven inblazen

De Amsterdam Internet Exchange heeft donderdag opgeroepen om het Trusted Networks Initiative nieuw leven in te blazen. Aanleiding daarvoor zijn de recente ddos-aanvallen, die onder meer waren gericht op Nederlandse banken.

In een bijeenkomst voor journalisten legde AMS-IX-cto Henk Steenman uit dat er een betrekkelijk eenvoudige oplossing is om ddos-aanvallen grotendeels tegen te gaan. Dit zou mogelijk zijn door directe peering tussen de providers van vitale diensten, waar onder meer banken onder vallen. Bij een ddos-aanval met grote hoeveelheden verkeer van buiten Nederland zouden deze en andere vitale diensten op deze manier voor Nederlandse gebruikers beschikbaar blijven. Het overgaan op deze oplossing zou volgens Steenman niet moeilijk zijn en niet veel meer behelzen dan 'het aanmaken van een nieuw vlan'.

Dit is geen geheel nieuw idee, omdat dit in het verleden wel is aangeduid als het zogenaamde Trusted Networks Initiative. Dat is er uiteindelijk echter niet gekomen. De non-profitorganisatie legt uit dat als er dan toch Nederlandse systemen zijn betrokken bij een ddos-aanval, deze achteraf vrij eenvoudig te identificeren zouden moeten zijn. Ook zou de kracht van de aanval in dat geval afgezwakt kunnen worden door maatregelen als de NaWas, oftewel Nationale Wasstraat. Dit is een initiatief van DHPA, AMS-IX en NL-IX, waarbij verkeer van een aangevallen provider langs apparatuur voor een grondige 'wasbeurt' wordt gehaald.

Door Sander van Voorst

Nieuwsredacteur

22-02-2018 • 17:38

53 Linkedin Google+

Reacties (53)

Wijzig sortering
Aangezien er zoveel kritische zaken op het internet zijn aangesloten en wij ons niet tegen alle aanvullen kunnen wapenen is het een kwestie van tijd dat zo'n maatregel of een nog rigoureuzere maatregel genomen moet worden.

Ik vond het geen fijn idee dat ik niet meer kon pinnen omdat iDEAL/ een bank geddossed werd. Bron: nieuws: ING kampte met storing internetbankieren - update 6
Het niet kunnen pinnen kwam niet door een DDoS of aanval maar door een fout van de bank zelf, verkeerde transactielog ingeladen waardoor een aantal saldos op 0 kwamen.
Daar gaan dit soort netwerken niet tegen beschermen ;)
Eigenlijk moet je het als een soort VPN dienst zien. Alleen dan beheerd en geregeld op provider laag. (Waarbij het vpn verkeer een eigen/privé route heeft).
Deze treed dan alleen in werking indien nodig.

[Reactie gewijzigd door Pimmetje16 op 22 februari 2018 18:46]

Je kan nog 1 kleine stap verder gaan en NL gewoon afsluiten van het internet. China achterna. Ben je ook direct van alle problememn verlost.

Dit principe klinkt leuk maar in een wereld die aan het globaliseren is, is het echt niet goed om jezelf te gaan isoleren. Je moet net kunnen samenwerken. De economische schade van een DDOS is groot, maar bereken eerst maar eens wat de schade bij dit mechanisme gaat zijn.
botnet met genoeg ip webcams en ander spul in nederland legt alsnog alles plat.
Een mogelijk oplossing voor dit probleem zou opgelost kunnen worden met een techniek als DHCP-snooping. Als internet service provider dit zouden instellen voor al hun consumenten dan zijn we in iedergeval al verlost van de thuis netwerkjes.

Dit zal natuurlijk niet opgaan voor de zakelijke klanten maar wellicht dat hier iets met source checking gedaan kan worden
Een lijst van goede peers kan je wellicht nog wel maken, en daarna de hefbrug omhoog zetten. Maar wanneer een partij communicatie nodig heeft vanuit een cloud of derde partij, dan is dat stuk communicatie ook direct gestopt. Ik denk dat de maatregelen meer negatieve side-effects heeft, dan voordelen.
Er bestaan helaas veel misverstanden over TNI en andere Anti-DDoS projecten, zoals ook in sommige reacties blijkt.
Laten we voorop-stellen dat alle projecten stuk voor stuk erg nuttig zijn om het zeer grote probleem van DDoS aanvallen te overkomen !
Belangrijke en nuttige projecten zijn dan zoal :
- NAWAS (en andere scrubbing centers), die DDoS aanvallen tot enkele tientallen Gb's kunnen cleanen,
- BCP38, dat wereldwijd beoogt spoofing te voorkomen,
- MANRS, dat wereldwijd de onderlinge afspraken tussen routerings-domeinen aanscherpt,
- Dutch Continuity Board (DCB), dat de communicatie tussen telecom-operators, kritische content providers (banken ed) en diverse CERT's in Nederland beoogt te verbeteren tijdens nood-situaties.
- Trusted Networks Initiative (TNI), dat een nederlandse nood-oplossing probeerde te bieden indien de bovenstaande oplossingen niet (meer) werken, of nog niet werken.

Het principe van TNI is eenvoudig:
In geval van zeer grote en/of langdurige DDoS aanvallen, danwel vele grote gelijktijdige aanvallen, kunnen kritische-content partijen (banken, overheden, energie-maatschappijen etc) middels TNI hun internet-toegang terugschalen naar 'uitsluitend nederlandse Internet-toegang'.
Dat heeft de volgende voordelen:
- het resterende nederlandse deel van de aanval (if any) kan veel makkelijker tot staan gebracht worden dan het veel grotere niet-nederlandse deel van de aanval,
- kritische-content partijen zijn welliswaar dan slechts nog nationaal bereikbaar, maar dat is beter dan helemaal niet meer bereikbaar.
Verwachting daarbij was dat TNI maar eens in de zoveel jaar actief hoefde te worden in uiterste nood, een beetje vergelijkbaar met het incidenteel afsluiten van de Oosterscheldekering bij springvloed/storm.

Bijkomend voordeel van TNI was dat het zeer goedkoop kon worden geimplementeerd omdat gebruik zou worden gemaakt van de grote Internet-Exchanges in Nederland (AMS-IX, NL-IX), waar bijna alle betrokken partijen reeds aansluitingen hadden. Er diende eigenlijk alleen enkele BGP-settingen te worden geimplementeerd per deelnemer.
Dit project heeft het uiteindelijk gehaald tot en met een succesvolle test najaar 2015. Edoch, TNI is daarna niet verder afgebouwd omdat in de operator-wereld de focus alsnog werd gelegd op het DCB-project.

Alles welbeschouwd is Nederland waarschijnlijk pas echt goed beschermd als alle mogelijke anti-DDoS oplossingen met vereende krachten worden (af)gebouwd.
Want een strategische DDoS aanval met bijvoorbeeld meerdere grote aanvallen gedurende meerdere weken op diverse financiele instellingen tegelijkertijd kan ons land zomaar in totale chaos brengen.
Elke oplossing is dan meegenomen !

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True