Internet kwetsbaarder door schaalvergroting

Lars Pasveer heeft bij Planet een artikel online geplaatst over de kwetsbaarheid van het internet, naar aanleiding van een rapport van een drietal Amerikaanse onderzoekers. In de tekst wordt aangegeven dat het internet steeds minder goed bestand is tegen storingen. In de jaren '60, toen het netwerk werd opgericht onder de naam ARPANET, lag het accent op de bereikbaarheid en stabiliteit. Zelfs als belangrijke knooppunten uitvielen moest het mogelijk zijn om verbinding te maken met andere apparaten in het netwerk.

Tegenwoordig is een steeds groter deel van de belangrijke knooppunten in de handen van enkele grote bedrijven en instellingen. Door het relatief kleinere aantal knooppunten heeft een eventuele storing bij een dergelijke node een grotere impact dan vroeger. Als voorbeeld wordt het instorten van de WTC-torens genoemd. Daarbij viel een belangrijke node weg, waarna drie Amerikaanse staten zonder internet zaten. De onderzoekers raden aan om bij het opzetten van een netwerk meer rekening te houden met de uitval van een centrale machine en ervoor te zorgen dat individuele computers ook via andere wegen met het wereldwijde netwerk verbonden zijn.

Lees meer

IT-banen

Reacties (30)

Polaris 30 november 2002 22:08

Natuurlijk is redundantie beter. Alleen, het kost ook meer. Vandaag de dag is Internet commercieel en dus moet alles zo goedkoop mogelijk. Die bestendigheid tegen uitval zie ik dan ook nog niet zo snel komen.

Illusion @Polaris • 30 november 2002 22:12

Maar natuurlijk zal je als bedrijf ook een bepaalde bedrijfszekerheid van je internetsite verwachten....
Ik zou als bedrijf wel bereid zijn meer te betalen om zeker te weten dat bijv. mijn voornamelijk NIEUWS-site (CNN) ook bij lokale rampen in de lucht blijft...
En zodra dat bewerkstelligd is, zullen er altijd bedrijven op inspringen om (tegen een meerprijs) meer redundatie te kunnen leveren...
Zelfs nu kan geen enkele zichzelf-respecterende internet-provider het zich nog veroorloven om slechts 1 uplink naar de rest van het internet te hebben..

Verwijderd @Illusion • 30 november 2002 22:23

Als je deze zekerheid wilt hebben dan laat je je site mirroren door Akamai bevoorbeeld. CNN is een goed voorbeeld daarvan. Al nuken ze heel amerika de Akamai bakken hangen in heel de wereld en blijven de content mirroren.

PuzzleSolver @Verwijderd • 1 december 2002 21:54

Het gaat ook niet alleen om Websites maar ook om mail en andere communicatie. Een site kan je inderdaad mirroren, maar CNN vindt het waarshijnlijk ook heel erg prettig dat hun correspondenten waar dan ook ter wereld kunnen mailen en dat die mails dan ook binnen 5 minuten aankomen, en daarvoor zul je redundantie in het netwerk aan moeten brengen. Ik ben beniuwd hoeveel delen in Nedereland onbereikbaar worden als ze een bellangrijk onderdeel in A'Dam vernielen. En dan zijn die gemirrorde sites waarschijnlijk ook niet meer bereikbaar voor een groot deel van de NL bevolking.

reddog33hummer @Verwijderd • 2 december 2002 00:40

minder delen dan je op het eerste moment zou denken. Veel van het verkeer wordt dan via belgie en duitsland geroute.Het wordt dan wat langzamer maar het werkt wel (laatste testen 1999)

Xellence @Illusion • 2 december 2002 00:58

Lollig dat je dat zegt daar het bedrijf waar ik voor werk van 90 man ook redundentie hebben met de internet verbinding over xDSL. Ik heb onlangs mogelijk gemaakt om via beide vestigingen, het internet op te komen; wanneer 1 van de 2 xDSL verbindingen platgaat, is het altijd nog mogelijk om via de andere vestiging verder te browsen, alleen onder een ander IP. Dat is, omdat we slechts 2 IP adressen gebruiken. Onze website wordt gelukkig extern gehost. Over onze xDSL verbindingen gaan slechts alleen web-in, mail-in/out en VPN-in/out heen. En hiermee zijn we redelijk goed bereikbaar, waar de accountants etc ook zijn, ze kunnen altijd bij hun programma's en documenten.

Zelfs voor de kleinere bedrijven is redundentie over het internet belangrijk. In de financiële wereld kunnen een paar minuten zelfs tonnen schelen. Daar hebben de accountants bij ons mee te maken en al was het een nog kleiner bedrijf met 2 pandjes verdeeld in 1 stad, dan nog had ik dezelfde constructie gebouwd, inclusief eigen dubbele mailserver. Hoewel bij de laatste de investering van bv. 2x sbs2000 te betwijfelen valt. In ons eigen geval 2x Exchange.

beany 30 november 2002 22:12

Het probleem is eerder dat internet iets is geworden wat eigenlijk niet de bedoeling was. ARPANET was de bedoeling, wereldwijd gebruik met miljoenen gebruikers is wat het is geworden. Probleem is gewoon dat je de basis van internet niet zomaar kan wijzigen.

Verwijderd @beany • 30 november 2002 23:10

De basis is niet te wijzigen maar door meer knooppunten toe te voegen kom je weer meer richting de bedoeling van ARPANET. Iets wat IMO de overheden op zouden moeten pikken. Zoiets hoort toch bij de algemene infrastructuur van een land. Met als voordeel als het publiekelijke gedeelte niet in handen is van bedrijven die van aandeelhouders afhankelijk zijn.
Want als je nagaat dat met een aantal goed geplande sabotage akties je zo het internet van een heel land/continent kunt uitschakelen is niet alleen nadelig voor het leger (ARPA) maar zeer zeker ook de economie. (de motor van het leger)

Hertog 30 november 2002 23:25

Ander goed voorbeeld is de brand op de UT twente.

Inderdaad. En na hoeveel tijd hadden ze alles weer aan de praat? Ik vind dat ze dat toch snel en goed hebben opgelost.
Ik vind het nu net een sterk punt van internet dat alles blijft werken behalve die onderdelen die in directe verbinding staan met een uigevallen component.
Als zo'n brand in een gesloten netwerk uit zou breken zou meteen dit hele netwerk uit de lucht zijn.

Verwijderd 30 november 2002 22:43

Ander goed voorbeeld is de brand op de UT twente.
Het CIV was aangesloten op Nederlands 2 na grootste internetknooppunt de NDIX (Nederlands-Duitse Internet eXchange’ ) in Enschede.
Deze is na de AMS-IX in Amsterdam de grootste in Nederland.
Eigenlijk goed voor een gedeelte van Oost nederland en een deel van westduitsland!
Na de brand viel dus niet alleen het netwerk van de UT weg maar ook delen van @Home, Surfnet, A1 en andere providers her in de regio

Verwijderd @Verwijderd • 1 december 2002 00:28

Ander mooi voorbeeld vond ik de stroomstoring in Amsterdam kort geleden. Er was 1! stroomhuisje opgeblazen en bijna heel nederland heeft er last van gehad. Sommige delen volledig zonder internet, de rest heel sterk vertraagd. Dit lijkt me wel een goede reden om die redunantie te verhogen, blijkbaar is het best wel heel gevoelig

kodak

Bedrijfsnieuws

@Verwijderd • 1 december 2002 02:18

Het was echt diepe pech met dat voorval in het verdeelstation. Net op het moment dat men een ander station voor het eerst in lange tijd even buiten werking had gezet voor onderhoud. Maar waarom heeft de belangrijke AMS-IX geen twee onafhankelijke voedings lijnen voor de stroomvretertjes? En zover weg van het elektrische knooppunt Diemen zitten ze daar nu ook weer niet. Het lijkt er een beetje op dat men om de een of andere renden (geld?) geen rekening kan houden met dit soort uitval.

jep @kodak • 1 december 2002 03:21

Telecity2 en Global-switch hebben gewoon 2 stroom-boeren en UPS's/Diesel. Op Sara en Nikhef doen ze alleen alsof ze geen geld hebben, maar ik kan 't me niet voorstellen...

ATS @Verwijderd • 1 december 2002 12:22

Errr....
Iets met klokken en klepels? Het was juist dankzij NDIX/Virtu dat de UT zo snel weer bereikbaar was (de campus had zelfs dezelfde dag weer (beperkt) internet!).
Wel liepen de verbindingen van de Saxion Hogeschool, de gemeente Enschede en enkele andere instanties via de UT uplink. Deze zijn dan ook uitgevallen bij de brand. @Home werkte prima door (ik zit zelf op @Home), maar de UT medewerkers en studenten die via de UT een kabel of ADSL aansluiting hadden zaten tijdelijk zonder internet. Dat is juist opgevangen door o.a. @Home.
Volgens mij moet je nog maar eens het een en ander doorlezen op http://www.utwente.nl als je écht wil weten wat er nu aan de hand was.

Overigens is natuurlijk wel aangetoond dat wat redundantie binnen het UT netwerk geen luxe is, maar die conclusie was geloof ik al eerder door het CIV getrokken...

LauPro 1 december 2002 00:36

Ik vind dat je even een onderscheid moet maken tussen twee of misschien wel drie 'netwerken'. De termen MAN, WAN en LAN kan je dan goed indelen.
Ten eerste heb je vrijwel nooit een rechtstreekse verbinding met een MAN (Metropolitan Area Network). En dan ga ik even uit van bijvoorbeeld de verbindingen van AMS-IX. Chello en andere bedrijven hebben in Nederland een eigen netwerk aangelegd en dit aan het MAN gehangen. Het netwerk van bijvoorbeeld Chello zelf zie ik als een WAN (Wide Area Network). Je snapt wel dat een 'MAN-verbinding' een veel hogere proriteit heeft dan een 'WAN-verbinding'. Ik vind dan ook dat bedrijven zoals Chello hier wel rekening mee moeten houden maar in de praktijk is dit onmogelijk.
Het grootste probleem zijn gewoon dat de fibers in de grond liggen en het gewoon klaar is. Een extra fiber via een andere route kost veel teveel geld.
Maar als het gaat om WAN's dan zijn er al vrij veel verschillende <a href="\\"http://www.bit.nl/globalnetworks.html\" target="_blank">verbindingen</a>.

De verbindingen zouden beter kunnen maar dan moet je eigenlijk het internet laten beheren en onderhouden vanaf de overheid. Één netwerk binnen Nederland waar iedereen gebruik van kan maken. Dán heb je de mogelijkheid om een netwerk op te zetten dat heel stabiel en snel is. En dan praat ik niet over een verbinding over het telefoonnetwerk of 'de centrale antenne' maar gewoon een fiver in ieders meterkast (en niet de huiskamer!).

ijdod

@LauPro • 1 december 2002 01:22

Een MAN is niet een uber-WAN, een MAN is een geografisch beperkte WAN variant, binnen een stedelijk gebied (Metropolitan Area). Door de relatief korte afstanden en hoge gebruikersdichtheid is bandbreedte er relatief goedkoop. Vaak worden zelfs simpelweg LAN technieken (zoals Ethernet) gebruikt, in elk geval als koppelvlak.

Even grof (de grenzen zijn vaag), van klein naar groot:

LAN - Campus - MAN - WAN

(Campus en MAN lijken erg op elkaar; MAN is groter, en gebruikt publieke infrastructuur)

In de praktijk loopt het meeste MAN en WAN verkeer over de low level infra van de grote Telco's. Dan heb je het over technieken als SDH.

Ook met een door de overheid beheerd netwerk (ik dacht dat we zo allergisch waren voor monopolies) zal fibre tot in de meterkast eerder uitzondering dan regel zijn. De ROI is simpelweg te laag. Nu hoeft de overheid geen winst te maken, maar men wil de zaak kostentechnisch wel dekkend hebben. Bedenk ook dat 'overheid' en 'efficient' twee heel erg verschillende dingen zijn, wat de kosten bepaald niet verlaagt.

Overigens vraag ik me af of het door jou genoemde voorbeeld Chello wel een 'eigen' netwerk heeft. Staat me bij dat die voor NL op de UPC infra hangen.

Turtle @ijdod • 1 december 2002 02:15

Chello is een onderdeel van UPC.

Verwijderd 30 november 2002 22:13

Op veel punten zie je dus dat internet gewoon net zo verrot is als ouwe kaas

-Als we even snel alle DNS-servers uitstekkeren verliest het internet vrijwel heel zijn functionaliteit.
-Niet alle computers kunnen een eigen adres toegewezen krijgen door een tekort aan adressen.
-De upstream moet tegenwoordig gewoon 16-32 zijn omdat het allemaal budgetto moet.
-De software barst van de veiligheidslekken en te moeilijke settings die de godlike person nog wel eens verwarring kan brengen.
-Nog een punt: Spam! Bah! Het is gewoon een vuilnisvat met reclame!

Ik vind het internet wel fijn, maar het suckt gewoon hard qua wat het eigenlijk had moeten worden. Een beetje een doodbloedend schaap...

rootlinux @Verwijderd • 30 november 2002 22:43

-Als we even snel alle DNS-servers uitstekkeren verliest het internet vrijwel heel zijn functionaliteit.

Dit is volgens mij geen probleem daar alle servers redundant zijn en o.a. providers ook dns requests resolven

-Niet alle computers kunnen een eigen adres toegewezen krijgen door een tekort aan adressen.

IPV 6 lost dit op en volgens mij is er op dit moment nog geen tekort. Ik heb nog van geen probleem gehoord over het op zijn van de IP addressen wel dat er geen 10 jaar meer te gaan is met de huidige set.

-De software barst van de veiligheidslekken en te moeilijke settings die de godlike person nog wel eens verwarring kan brengen.

Als je een leek bent wel als Admin zou dit geen probleem moeten zijn. Dit is het hetzelfde voor een school leraar die kan ook geen hart transplantatie doen, schoenmaker blijf bij je leest.

Met de security gaten is het inderdaad niet al te best gesteld maar hier hebben de meeste mensen niet veel last van. En voor een groot deel kan dat opgelost worden door software te instaleren met veiligheid voorop en niet gebruikers / admin gemak. Ik denk dat de meeste hacks & problemen veroorzaakt worden door slecht geconfigureerde software. Dit is overigens niet alleen een probleem op het internet maar in het algemeen.

Nog een punt: Spam! Bah! Het is gewoon een vuilnisvat met reclame!

Dit is denk ik het grootste probleem van het internet de ongewenste junk die je in de brieven bus en op je scherm krijgt.

SyS_ErroR @Verwijderd • 30 november 2002 22:35

hmzzz........

wat zou er gebeuren als iedereen zou verbinden met het internet?

Krijg je dan gewoon:

Error kan niet inloggen, geen ip adressen beschikbaar???

Lijkt me op zich wel stoer (hopen dat wanadoo dan vast ip adres heeft

)

StGermain @SyS_ErroR • 1 december 2002 11:37

Elke provider heeft een bepaalde ip-range waaruit zijn DNS server adressen kan verdelen.

Toen ik nog op ISDN zat heb ik het wel eens meegemaakt dat ik geen IP kon krijgen omdat er teveel mensen tegelijk ingebeld waren... maar het probleem daar was dus dat mijn toenmalige provider een te kleine range had om al zijn abonnees een IP te geven.

Bovendien kan je nog een beetje valsspelen door je intranet met het internet te verbinden. Dan heb je maar 1 IP nodig voor heel je intranet.

Dat is bijvoorbeeld wat de ingebouwde ICS van windows XP en windows 2000 doen. De machine die geconnecteerd is op internet heeft dan 2 netwerkkaarten. De ene kaart heeft een internet IP adres gekregen van de DNS server en de tweede kaart heeft meestal 192.168.0.1 als adres en deelt in die range 192.168.0.* adressen uit aan de andere machines. De IP's in die range komen dus miljoenen keren tegelijk voor, maar ze zien elkaar enkel als dusdanig wanneer ze op hetzelfde netwerk zitten. Zoniet zien ze mekaar via het IP van de internet gateway of router....

Jetser @StGermain • 1 december 2002 22:16

Volgens mij zorgt DHCP voor t uitdelen van ip adreseen..:

PowerFlower @StGermain • 1 december 2002 23:58

Ja, in dit voorbeeld gebruikt ICS (Internet Connection Sharing) voor het lokale subnet een DHCP server. Wat hij zegt is dus niet fout of zo

DHCP is dan gewoon een onderdeeltje van wat samengegooide services met een scriptje, en dat heet samen ICS.

Overigens A) werkte dit in Win98 SE ook al en

heb je er in W2K/XP niet twee netwerkkaarten voor nodig, je kunt die ene kaart ook gewoon twee IP's geven

reddog33hummer @Verwijderd • 2 december 2002 00:46

En dan vergeet je nog:

het IP schaduw domein uit het verleden (164 volgens mij)
Standaard geen autenticatie
Spoofing en hijacking support in IP4

Je merkt dat het oud is, daarom willen ze ook naar ipv6.
Maar het gaat hier meer om het feit dat er te weinig nodes in de routing worden gebruikt en als dus een node wegvalt (lees WTC, Universiteit twente) er veel storing zijn die eigenlijk er niets zouden moeten zijn.

Dat er te weinig nodes zijn komt mensen geen redundant link hebben maar ook omdat mensen overal de aantal hops proberen te limiteren

Verwijderd 30 november 2002 22:24

Sinds Chello zou het schaalvergroten wel meevallen

Verwijderd 1 december 2002 10:33

De onderzoekers raden aan om bij het opzetten van een netwerk meer rekening te houden met de uitval van een centrale machine en ervoor te zorgen dat individuele computers ook via andere wegen met het wereldwijde netwerk verbonden zijn.

Een paar regels boven wordt er gesproken over een aantal grote bedrijven en instellingen die zulke netwerken hebben en beheren. Zo'n boodschap om toegankelijkheid te vergroten is voor deze bedrijven en instellingen vaak aan dovemans oren gericht. Het gaat hun om winst en het zelf beheren van de netwerk zonder tussenkomst van derden.

Vanuit het gedachte collectieve goederen die er voor iedereen zijn zou het niet een zo'n verkeerd idee zijn om internet er ook onder te laten vallen. Als de overheid net zo veel zou investeren in de 'internet-infrastructuur' als in de wegenbouw dan zou internet nog eens iets heel 'technisch hoogstandig' kunnen worden.

Adm.Spock 1 december 2002 23:05

Voot internet is volgens mij de Telecommunicatie wet van toepassing. Die regeld iig voor de telefoonverbindingen op het vaste net een minimale bereikbaarheids-eis. Wat inhoud dat als dé grote internationale centrale van KPN opgeblazen wordt, dat alle telefoonverkeer via lagere nodes, in eerste instantie via de districscentrales in het grensgebied doorgesluisd kunnen worden. Dit is het geval sinds de invoering van de digitale centrales. Als ook de DC's uitvallen dan is het nog niet over met telefoneren, er lopen nog enkele lijnen van een aantal wijkcentrales naar buurlanden (waarschijnlijk slechts 2 glasparen, of zelfs maar een koperstamkabel, maar toch). Dit in combinatie met de onderlinge verbindingen van kleinere centrales onderling zorgt er voor dat je kan blijven bellen. De beperking is dan wel dat er minder mensen tegelijkertijd verbinding kunnen hebben.
Maar kritieke diensten zoals politie, brandweer, ambulance, ziekenhuizen, overheid, ed. hebben in dit soort situaties altijd voorrang op de rest, ivm het beperkte aantal lijnen.

Verwijderd 1 december 2002 04:04

Als je stabiliteit en betrouwbaarheid, dan moet je in elke stad een dikke backbone-server installeren. Dan moet er vanuit elke server een aantal verbindingen naar andere servers gaan. Dan komt het Internet erg dichtbij de structuur van Arpanet. Deze structuur is uiterst betrouwbaar, want als er een nuke op zo'n stadsserver valt, dan zal de server en de bijhorende stad kapot zijn. Ondertussen wordt de traffic die normaal door die stad gaat, omgeroutert via de omliggende servers.

Maar deze perfectie is veel te duur voor het commerciële internet, want Nederland heeft maar 1 dikke backboneserver in Amsterdam staan, AMS-IX. De Belgen zijn 3 keer betrouwbaarder door 3 dikke backboneservers. usa is erg onbetrouwbaar, er is lage backboneserver dichtheid (zeker als je dat vergelijkt met België), door de WTC-aanslag valt het internet uit in paar amerikaanse staten (oppervlakte van een staat is veel groter dan België.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (30)

Sorteer op:

Weergave: