Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
sluiten

Onderzoek Tweakers

Om beter te begrijpen wat jij waardevol vindt aan Tweakers en andere online content of features, voeren we een onderzoek uit. Wil jij ons helpen door de bijbehorende vragenlijst in te vullen? Het invullen neemt ongeveer 15 minuten in beslag en onder alle deelnemers verloten we drie Tweakers-goodiebags.

Naar het onderzoek

Advertorial

Door Tweakers Events

DDoS pareren: een dynamisch kat-en-muisspel

26-02-2020 • 09:49

8 Linkedin

De digitalisering maakt ons kwetsbaar, niet in de laatste plaats omdat securitydreigingen zoals DDoS-aanvallen een groeiend fenomeen zijn. Hoe beschermt Solvinity zijn klanten en zichzelf hiertegen? Daarover gaf Solvinity als partner een workshop tijdens de Developers Summit. Marc Guardiola, CISO en lead architect bij Solvinity, geeft een kijkje in de keuken bij deze 'secure managed services'-provider.

Vrijwel de hele economie draait tegenwoordig op digitaal geld. Is dat niet meer beschikbaar vanwege bijvoorbeeld een DDoS-aanval, dan hebben we een serieus probleem. Als de slimme thermostaat in onze woningen het niet meer doet, is dat vervelend. Ook de centrale energievoorziening kent afhankelijkheid van digitaal verkeer, en het onderwijs mag al helemaal niet in gevaar komen, stelt Marc Guardiola. Solvinity beheert bijvoorbeeld examenapplicaties. “Leerlingen zijn tegenwoordig in staat een schoolnetwerk plat te leggen via een DDoS-aanval, omdat ze geen examen willen doen. Ook centrale examenapplicaties kunnen worden aangevallen.”

''De digitale afhankelijkheid wordt steeds groter''Impact
Als een examenapplicatie niet beschikbaar is, heeft dat een enorme impact, schetst de CISO. “Een zaal zit vol studenten en er hangt een deadline aan, want de scholen moeten tegelijk examen doen. Of neem een inburgeringsexamen: heel vervelend als dat over moet.” De back-upmogelijkheden zijn vaak beperkt. Terugvallen op papier is haast niet meer mogelijk, weet Guardiola. “De digitale afhankelijkheid wordt steeds groter. Gelukkig kun je wel iets doen om de situatie onder controle te houden. Je kunt bij het bouwen van de applicatie of het netwerk al rekening houden met DDoS- of ransomware-aanvallen. En je kunt plannen klaar hebben voor als er toch een aanval plaatsvindt, en zo de risico’s op voorhand beperken. Waarom zou je zoiets als een examendienst beschikbaar maken buiten de regio waar hij nodig is? Je kunt hem bijvoorbeeld alleen in Nederland beschikbaar maken, of alleen voor scholen die er gebruik van maken.”

Risico-indicatie
Of het nu een financiële instelling, een overheid of een ‘gewoon’ bedrijf betreft, bij de eerste aanvraag gaan de specialisten van Solvinity al na wat de beste mogelijkheid is om de dienst te beveiligen. De onboarding van nieuwe klanten gebeurt volgens een gedegen due-diligenceproces, om het risico zo laag mogelijk te houden. “We kijken wat voor omgeving het is, wat voor risico’s er zijn en hoe we die het beste kunnen mitigeren.”

Assessment
Per omgeving maken de experts van Solvinity een assessment om te bepalen welke oplossing het beste past. Dat hangt af van diverse factoren. Hoe belangrijk is het dat de betreffende applicatie altijd beschikbaar is? Wat is de impact als het mis gaat? En hoe groot is de kans dat dit gebeurt? Maar ook: hoe groot is de impact op de privacy en hoe zwaar weegt dit? En wat mag het kosten? Dat bespreekt Solvinity allemaal met de klant. Pas als alles rond is, leidt dit tot een besluit. “Vervolgens maken we een SLA, inclusief risico-indicatie. Honderd procent garantie bestaat niet.”

Standaardoplossingen
Op elk vlak moet je de zaken op het gebied van security goed voor elkaar hebben, stelt Guardiola. Bepaalde standaardoplossingen dekken veel af. “Denk aan patchmanagement. Er is nog weleens sprake van kwetsbaarheden die niet direct tot een datalek leiden, maar wel een risico vormen voor de beschikbaarheid. Een server kan met heel weinig middelen worden platgelegd. Met enkele basismaatregelen op het gebied van patchmanagement lukt dit soort lichte DDoS-aanvallen al niet meer.”

“Waarom zou je verkeer toelaten dat tot volle lijnen en overbelasting leidt?”Risicomanagement
Een andere maatregel is het detecteren en tegenhouden van slecht verkeer binnen de buitenste randen van je netwerk. “Waarom zou je verkeer toelaten dat tot volle lijnen en overbelasting leidt?” Bij Solvinity kijkt men ook naar de mate waarin een omgeving risico's met zich meebrengt. “Als we weten dat bepaalde omgevingen vaker zijn geDDoS’t of al een dreigmail hebben gehad (‘Betaal x aan bitcoins, anders word je geDDoS’t’), dan zorgen we ervoor dat andere klanten daar geen last van hebben, door ze af te zonderen in een apart stukje netwerk. Een ander voorbeeld is dat je bij politieke partijen rond verkiezingstijd extra op je hoede moet zijn.” Sommige organisaties worden overigens ook geDDoS’t op normaal verkeer. “Dan kun je ervoor kiezen al het verkeer naar zo’n omgeving te blokkeren, maar dat wil de betreffende organisatie natuurlijk niet. In zo'n geval plaatsen we de klant nog weleens op een afgeschermd deel van onze infrastructuur, zodat hij meer ruimte krijgt.”

Optimale bescherming
Voor optimale bescherming kun je nog meer doen. Denk aan het inzetten van specialistische filterapparatuur. “Deze werkt goed, maar je gebruikt hem misschien nauwelijks, terwijl dit wel heel duur is.” Je kunt ook organiseren dat verkeer vanuit Zuid-Amerika daar ter plekke al wordt gefilterd, waarna de provider alleen schoon verkeer doorstuurt buiten het gebied. Daarnaast bestaan er diensten waarmee je in de data van het verkeer kunt kijken. Dit werkt ook uitstekend, maar is privacygevoelig. Bepaalde organisaties kunnen of willen hier om die reden geen gebruik van maken. “Always-on DDoS-mitigatie-leveranciers bieden uitstekende bescherming, maar hun oplossingen zijn erg duur. En kosten spelen uiteindelijk altijd een rol.”

Soorten DDoS
Er zijn veel soorten DDoS-aanvallen, legt Guardiola uit. “Allereerst zijn er volumetric aanvallen, waarbij de aanvaller meer verkeer probeert te sturen dan dat de lijnen aankunnen. Hierbij kunnen zij IP-adressen spoofen; het source IP kan per IP-pakketje veranderen. Dat is moeilijk filteren, waardoor je dit op andere kenmerken dan IP source moet doen.” Een ander soort DDoS-aanval is die met veel kleine sessies waardoor de server overbelast raakt. Het opbouwen van een volledige sessie over TCP kan een aanvaller niet spoofen, zoals bij UDP bijvoorbeeld wel kan. Ook zijn er DDoS’en die op normale gebruikers lijken. “We kijken voor die laatste categorie naar de reputatie en het gedrag van het IP-adres. Dat is al snel maatwerk, omdat het een dynamisch kat-en-muisspel is.”

Bij amplification DDoS worden vaak publieke DNS- en NTP-systemen misbruikt. Hier lijkt de vraag aan zo’n systeem van het IP-adres te komen dat moet worden platgelegd. Een kleine vraag aan de server, kan een groot antwoord opleveren. Een aanval met minder bandbreedte kan op die manier toch tot volle lijnen leiden. Voor deze aanval maakt een aanvaller dus gebruik van IP-spoofing. Providers uit het buitenland willen hier nog wel eens laks mee omspringen. “Vanaf die providers wordt veel aangevallen. De aanvallers worden bovendien steeds slimmer. Soms komen ze van legitieme DNS- of NTP-servers. Dat vraagt wat meer knowhow, want dat is lastiger mitigeren.” Meer en meer worden bovendien niet alleen individuele IP-adressen aangevallen, maar ook de IP-adressen eromheen. “Je daartegen wapenen vraagt geavanceerde verdedigingsmechanismen”.

Buiten schot
Solvinity wil en moet zelf natuurlijk ook buiten schot blijven. Wat zet het bedrijf in om zichzelf te beschermen? “Veel van onze beheersystemen hangen niet aan het Internet. Vaak kunnen we toegang buiten het publieke netwerk verlenen. De zaken die wel via internet gaan, zoals onze e-mail, DNS-server en serviceportaal, bedienen we op dezelfde manier als onze klanten.” En dat gaat behoorlijk geavanceerd. Via een zelfgebouwd SDN (Software Defined Network) detecteert Solvinity scenario’s. Zowel voor de klanten als zichzelf. “Daarmee kunnen we DDoS-aanvallen zoveel mogelijk automatisch tegengaan. Belangrijk en handig, zeker als je bedenkt dat het voortdurend meer en complexer wordt.”

Dit artikel is geen redactioneel artikel, maar een advertorial. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen, daar zullen collega's aanwezig zijn om jouw vragen en/of opmerkingen te bespreken/beantwoorden.

Reacties (8)

Wijzig sortering
Ik vind fail2ban wel een aardige oplossing voor wat voor DoS dan ook...
Voor iedere denkbare service is wel een jail... Op mijn VPS heb ik in ieder geval drastisch minder pogingen van misbruik...
Je vergelijkt appels met peren, fail2ban is echt heel erg kleinschalig en handig voor bijvoorbeeld simpele bruteforce aanvallen. De aanvallen waar in het artikel over gesproken wordt, kun je echt helemaal niets mee met fail2ban. Dit wordt bij de grote partijen al gefilterd voordat het bij je servertje belandt. :9

Je ziet tegenwoordig voornamelijk volumetrische DDoS-aanvallen, waarbij er geprobeerd wordt om de pijp vol te stampen met traffic, waardoor dus je dienst niet beschikbaar meer is.
die ip addressen die je blokkeerd zijn waarschijnlijk gespoofed; dus je wint er niet zo veel mee. flink wat 'kerstboom'-pakketjes versturen :)
Zoals @Tamerciaga al heeft uitgelegd: fail2ban is een oplossing tegen brute force aanval; niet tegen (D)DoS aanval.
Interessant leesmateriaal, leuk om te zien waar Solvinity zich mee bezighoudt! Ik ben zelf op zoek naar een traineeship in de IT, biedt Solvinity of een van z'n partners iets in die richting aan? :D
Als je onlangs bent afgestudeerd, dan moet je eens bij het Rijks I-Traineeship kijken. Heeft sinds september een "Cyber"-track, waarmee je ook bijvoorbeeld bij een SOC kan werken.

Aanmelding start binnenkort ;)
Solvinity is altijd op zoek naar trainees! Stuur even een berichtje naar clifford.haakmeester@solvinity.com ;)
inderdaad op dit niveau is fail2ban al veel te laat in de pipeline. Er komt zoveel traffic op je af dat je Firewall zelf de boel ook niet aankan. De lijn zit gewoon letterlijk vol. Je hebt eerder al een soort van scrubbing dienst (Akamai/Prolexic/iets vergelijkbaars) nodig die al die bandwidth makkelijker aankunnen en alleen de echte requests doorsturen.

edit was eigenlijk een reactie op @Tamerciaga & @michielRB

[Reactie gewijzigd door Meekoh op 26 februari 2020 15:11]

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True