Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste prijsvergelijker en beste community. Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers!

AMS-IX wil Trusted Network Initiative na ddos-aanvallen nieuw leven inblazen

De Amsterdam Internet Exchange heeft donderdag opgeroepen om het Trusted Networks Initiative nieuw leven in te blazen. Aanleiding daarvoor zijn de recente ddos-aanvallen, die onder meer waren gericht op Nederlandse banken.

In een bijeenkomst voor journalisten legde AMS-IX-cto Henk Steenman uit dat er een betrekkelijk eenvoudige oplossing is om ddos-aanvallen grotendeels tegen te gaan. Dit zou mogelijk zijn door directe peering tussen de providers van vitale diensten, waar onder meer banken onder vallen. Bij een ddos-aanval met grote hoeveelheden verkeer van buiten Nederland zouden deze en andere vitale diensten op deze manier voor Nederlandse gebruikers beschikbaar blijven. Het overgaan op deze oplossing zou volgens Steenman niet moeilijk zijn en niet veel meer behelzen dan 'het aanmaken van een nieuw vlan'.

Dit is geen geheel nieuw idee, omdat dit in het verleden wel is aangeduid als het zogenaamde Trusted Networks Initiative. Dat is er uiteindelijk echter niet gekomen. De non-profitorganisatie legt uit dat als er dan toch Nederlandse systemen zijn betrokken bij een ddos-aanval, deze achteraf vrij eenvoudig te identificeren zouden moeten zijn. Ook zou de kracht van de aanval in dat geval afgezwakt kunnen worden door maatregelen als de NaWas, oftewel Nationale Wasstraat. Dit is een initiatief van DHPA, AMS-IX en NL-IX, waarbij verkeer van een aangevallen provider langs apparatuur voor een grondige 'wasbeurt' wordt gehaald.

Door Sander van Voorst

Nieuwsredacteur

22-02-2018 • 17:38

53 Linkedin Google+

Reacties (53)

Wijzig sortering
Bij de podcast met nerds om tafel (https://www.metnerdsomtaf...aughtyport-erik-bais.html) hadden ze het laast ook over naughty ports. Dat klinkt een beetje als dezelfde oplossing. Gewoon (buitenlands) bandbreedte waar de kans groot is dat er rotzooi vandaan komt, op voorhand minder bandbreedte geven zodat ze bij een ddos ook minder data te verwerken hebben. En de Nederlandse ISP's tijdens een ddos gewoon wel de bank (of andere dienst) kunnen benaderen.

Al druist dat wel een beetje in tegen de netneutraliteit als ik het zo opschrijf :X
NaughtyPorts is een beetje vreemd inderdaad. Dat is in mijn optiek ook niet helemaal de juiste weg. Erik is mij geen onbekende, +-6 jaar mee gewerkt maar toch had en heeft ie wel wat bijzondere keuzes soms. Al een tijd niet meer gesproken al zit-ie tegenover in de straat :')

En het is niet iets als bijvoorbeeld de NaWas oplossing. Die hebben wij ook op het werk (waren een van de eerste deelnemers) en ik ben zoooo blij daarmee in combinatie met automatische mitigatie door onze Genie tool. Hands down, schitterend. Gisteren nog een 9Gbit incomming DDoS gehad, geen centje pijn. Flinke aanval op packets/s? No problem. Eerste 3 minuten even kijken of het echt zo is, dan automatisch kickt het proces in. Ja, die eerste 3 minuten is er even overlast maar lang niet zo erg als een half uur of langer je uplinks vol, firewalls over de zeik etc :) Hoogste piek die wij gezien hebben was een 35Gbps (DNS amplification) en werd keurig weggenomen.

De Nawas scrubt en filtert flink met hun hoge capaciteit en specialistische hardware met heftige specs (wat wij en meeste andere ISP's niet hebben) en levert het 'schoon' af. Het werkt vrij simpel; via een apart vlan op de AMS-IX koppeling, adverteer je een 'more specific', vaak een /24 waar het doel in valt, om een voorkeurs pad te krijgen. De Nawas adverteert deze direct op de AMS-IX en hun ander transit partijen. Of te wel, ze trekken voor dit subnet het verkeer aan/naar zich toe. In hun netwerk staat per aangesloten deelnemer geconfigureerd welke netwerken waar werkelijk leven en sturen het over het juiste (en dus zelfde) vlan weer naar binnen.

Heel soms staat het filter wat strak en een enkele keer moet er toch door complexiteit van de aanval wat getweaked worden om overlast weg te nemen maar dat is normaliter binnen een half uur geheel onder controle.

En, de NaWas tapt niet af. Zeker niet, de stichting NBIP (die beheer heeft over de Nawas) heeft daar toch echt andere procedures voor (weet ik uit ervaring).

[Reactie gewijzigd door Barreljan op 23 februari 2018 08:50]

Weet je dat hier al 20 jaar over gesproken is.

Unicast reverse path (tegen spoofing) en aanpakken na notificatie binnen bepaalde tijd kunnen ze contractueel afdwingen met als stok achter de deur poort dicht.

Er is geen wil en keten aansprakelijkheid heeft men nooit juridisch toegepast op deze casus.

In feite hoeft de overheid aan te geven dat ze of preventieve, structurele maatregelen moeten treffen of bij volgende verstoring ze strafrechtelijk hele keten aansprakelijk gaan stellen, waarbij de Nederlandse partijen kat in het bakje zijn natuurlijk.

Echter doordat Nederlandse overheid passief blijft toekijken en Internet partijen DDoS als incidenten blijft zien zijn we nu 20 jaar later nog steeds aan het praten over oplossingen die vorige eeuw al als pragmatisch en structureel uit de bus kwamen.
We hebben in Nederland en Europa een stelsel waarin de private bedrijven eigen verantwoordelijkheid heeft om beschermende maatregelen te treffen. Dat is waar democratisch voor gekozen is. Het is dus te makkelijk om naar de overheid te wijzen dat die dit probleem moet oplossen.

Bij de minste of geringste onderbreking gaan op social media al golven van verontwaardiging rond zonder de gebruikers bedenken dat diensten meestal echt niet van levensbelang zijn en wie er dan moet gaan betalen voor de investeringen. Het is begrijpelijk dat als heel veel mensen zich afhankelijk maken van bepaalde diensten ze dan waar voor hun geld willen. Maar niemand heeft het over de eigen verantwoordelijkheid om niet te afhankelijk te zijn of diensten te kopen waarbij er garanties worden gegeven. We menen maar wat graag dat alles maar voor ons geregeld moet worden, we daar niets voor hoeven doen en ook niet voor hoeven te betalen.

Laten we niet ook vergeten dat preventieve maatregelen geen toveroplossing zijn tegen bijvoorbeeld onderbreking van dienstverlening. Niets heeft een gerantie van 100% beschikbaarheid omdat onderbrekingen in geen enkele bestaan te voorkomen zijn. Aan alles zit een risico dat je capaciteit beperkter is dan de tegenstander of dat de oplossingen zelf net zo goed gevoelig zijn voor het veroorzaken van onderbrekingen.

URP, Trusted Network Initiative of Nawas zijn ook geen volledige oplossing tegen ddos. Het zijn mogelijke oplossingen en niemand heeft ooit bewezen dat het een betere oplossingen zijn dan alle oplossingen die tot nu toe zijn toegepast. Dus een goede reactie naar de voorstanders zou zijn om te vragen om bewijzen waarom die oplossingen beter zijn. Dat is het minste wat iedereen kan doen als het echt om de beschikbaarheid gaat. Maar het lijkt weer de situatie dat we klagen dat het niet goed is en iets anders dus beter is. Daar helpt geen overheidsmaatregel tegen. Behalve nog duidelijker maken wie verantwoordelijk is.

[Reactie gewijzigd door kodak op 22 februari 2018 23:27]

En zodra je eigen verantwoordelijkheid niet neemt en derden daar schade van ondervinden je aansprakelijk gehouden kunt worden.

"Zonder heler geen steler", zonder mensen die bij voorbereidingen helpen, geen aanslagen of moorden etc.

Uit eindelijk worden mensen/bedrijven voor hun aandeel aangepakt.

Ik wijs niet naar overheid ISP's en destijds telco's (die in den beginne geen ISP waren, maar aan backbone/interconnects verdienden) waren vorige eeuw al in conclaaf.

Zaken zoals SPAM hebben zichzelf opgelost door filters en zwarte lijsten. Ja er zijn nog steeds spamrun maar impact is te verwaarlozen tov wilde westen begin deze eeuw waarbij sommige spammers hele AS hebben zitten announcen om spamrun eruit te gooien.

Overigens mede naar aanleiding daarvan hebben ze in dit deel van de wereld authenticatie ingevoerd.

Kennelijk zag men toen wel in dat er een structurele oplossing moest komen.

De discussie over impact en eventueel de relatie met sociale verontwaardiging t/m individuele afhankelijkheid wil ik niet voeren. Daar kunnen mensen die sociale wetenschappen studeren mooi op afstuderen.

Het gaat mij er puur om dat ik in verschillen praat clubjes heb gezeten, waar praten en aanwezigheid belangrijker is dan resultaten. En aangezien de organisator er toch betaald voor krijgt kan het ze niet schelen.

Ik zeg nergens dat NAWAS en/of TNI een oplossing is.
Sterker nog ken de procedurele en technische verhaal er achter niet eens.

Wat ik voorstel is wel degelijk structureel en preventief aangezien je vervuiler verantwoordelijk maakt.
En als alle peer punten en telco's in Nederland meewerken riskeren buitenlandse partijen dat connecviteit naar Nederaldn gedropt zal worden indien ze niet basale maatregelen treffen zoals uRP, dynamische rules op overduidelijke nutteloos verkeer en afdwingen dat upstream partijen waar ze connectiviteit mee hebben hetzelfde doen.

In eerste instantie voorkom je daarmee dat die troep Nederland inkomt en op den duur als andere nut en noodzaak inzien kan je het naar Europese schaal doortrekken. Dat je bij cores van onze "buiten grenzen" verkeer gaat droppen heeft niemand last van en als het transit verkeer betreft mag je de vervuiler best meer laten betalen, peering intrekken en uiteindelijk port dicht gooien als ze het probleem niet uitpakken.

Vorige eeuw zag je dat naar mate landen minder de Engelse taal machtig zijn (of niet als tweede taal hadden) naar mate hun security en infrastructuur slechter in elkaar zat en als je er op wees krijg je in gebrekkig Engels een antwoord dat ze niet begrepen waar je het over hebt.

De reden dat je spoofen wilt voorkomen is dat je dan meteen kunt terug herleiden wat de bron is.

En onder Nederlandse strafrecht is degene die faciliteert gewoon strafbaar en kan indien het iets is wat of gehacked is of verkeerd geconfigureerd is gewoon civiel rechtelijk je schade op verhalen.

Daar voorziet onze (En meeste westerse democratieŽn ) al reeds in.

In de publieke & private commissies die er zijn geweest in de afgelopen 20 jaar met als onderwerp Internet / infrastructuur beveiliging is men niet verder gekomen dan praten en wat ik opper heb ik in de afgelopen 20 jaar constant gedaan.

Maar de wil is er niet en management van ISP's bestaan (niet meer) uit techneuten die inzien en overzien hoe klein de technische impact is en hoe groot het voordeel terwijl het feitelijk geen investering kost.

Hedendaagse infrastructuur die voorziet al in treshold based dynamische rules.

Alleen als AMS-IX en knooppunten niet verder willen ingrijpen dient overheid ze voor keuze te stellen, doe het uit jezelf of elke keer zullen we strafrechtelijk bij je langskomen.


ps: schoot me iets te binnen. Vorig jaar had ik 26.000 IP's die aanval deden. Deze waren niet gespoofed ( dns amplified attack).

Het koste me 30 minuten om een oneliner te schrijven die via whois alle blockowner emails een mailtje te sturen met daarin de IP + met aanval + links naar oplossing voor missconfiguratie van hun nameservers.

Die mail run had 10 uur nodig. Binnen een uur had ik eerste responses al..... maar niet uit de landen waar ik het had verwacht. Rusland en Zuid-Amerika en die hebben hun nameservers meteen onderhanden genomen.

En ik zag aanval afnemen en ik denk dat bot-netowner niet happy was met aanval op door mij beheerde infra.

Wat me opviel dat uit westerse landen er geen enkele reactie is gekomen.

[Reactie gewijzigd door totaalgeenhard op 23 februari 2018 01:29]

AMS-IX haalt TNI weer uit de kast om nieuwe peering contracten af te kunnen sluiten. Bovendien is TNI nooit compleet van de baan geweest en heeft de DCB dit ook op genomen als "last resort". Daarnaast zijn er voldoende initiatieven naast TNI die ook meehelpen aan het verminderen van de effecten van DDOS welke vast gelegd zijn in MANRS. Met uitzondering van SurfNET hebben geen van de deelnemers van TNI deze onderschreven, dat kost namelijk te veel moeite. Dat TNI telkens als de enige oplossing wordt gepresenteerd door partijen die peering contracten willen verkopen is opmerkelijk.

[Reactie gewijzigd door mrprodent op 23 februari 2018 08:11]

Volgens mij werkt het zo:
-public peering is een peering (bgp sessie) op een internet exchange.
-private / direct peering is een peering (bgp sessie) waarbij je op een colo je routers direct met elkaar koppelt zonder tussen komst van een peering LAN (Een internet exchange is een peering LAN)

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True