image

Nederland krijgt nieuw wapen tegen zware DDoS-aanvallen

woensdag 29 oktober 2014, 15:10 door Redactie, 30 reacties

Nederland beschikt over een nieuw wapen tegen DDoS-aanvallen, waarbij het mogelijk wordt om een deel van het internet tijdelijk van het buitenland af te sluiten om de aanval af te slaan, terwijl belangrijke websites wel bereikbaar blijven voor bijvoorbeeld Nederlandse consumenten.

Het 'Trusted Networks Initiative', zoals de oplossing wordt genoemd, is ontwikkeld door internet exchange NL-ix en internet-stimuleringsfonds NL-net, in samenwerking met het nationale veiligheidscluster The Hague Security Delta en heeft als doel om de economische schade van DDoS-aanvallen te beperken en de overlast bij consumenten te verminderen.

Het initiatief classificeert websites en netwerken als betrouwbaar en helpt hen onderscheid te maken tussen 'betrouwbaar' en 'minder betrouwbaar' Internet, om in het geval van een DDoS-aanval het onbetrouwbare internet af te kunnen sluiten. In de eerste fase van het initiatief kunnen belangrijke websites zich al als "Trusted Network" laten classificeren om zo al enige ervaring met het concept op te doen.

"Het idee blinkt eigenlijk uit in eenvoud: al in de middeleeuwen haalde men simpelweg de ophaalbrug op in geval de vijand aan de poort stond", aldus Marc Gauw, directeur van Stichting NLnet. "De enige uitdaging bestaat nu wel nog uit de bewustwording dat men dit soort oplossingen moet implementeren vóór een incident plaatsvindt, en niet pas erna."

Reacties (30)
29-10-2014, 15:44 door [Account Verwijderd] - Bijgewerkt: 29-10-2014, 15:45
[Verwijderd]
29-10-2014, 16:08 door Anoniem
Denial of Service om Denial of Service te voorkomen....
29-10-2014, 16:10 door Anoniem
En wie gaat de beslissing nemen om (een deel van) het internet offline te halen? En wie gaat voor wie bepalen wat nu wel of niet betrouwbaar is? Internet is zo opgezet dat verkeer eenvoudig via andere routes kan lopen. Wanneer je hierin gaat ingrijpen, ga je de nodige slachtoffers maken.

Aanvallers kunnen ook uitlokken dat de overheid de brug gaat ophalen, dat veroorzaakt namelijk ook al schade.

Ik hoop dat deze bescherming iets slimmers werkt dan een ophaalbrug...
29-10-2014, 16:12 door Anoniem
Ja implementeer maar vast de middelen tot censuur en zet Opstelten aan de knoppen, weg met je vrije internet.
29-10-2014, 16:14 door depend
Wat als de Ddos aanval vanuit Nederland komt?
29-10-2014, 16:18 door Anoniem
Door depend: Wat als de Ddos aanval vanuit Nederland komt?

Een DDoS aanval komt van over de hele wereld. Je koopt een aanval bij een crimineel en die zet een aantal van zijn systemen aan het werk. Die bevinden zich over de hele wereld. Als je zegt dat je alleen in Nederland gevestigde systemen wilt gebruiken, zal je aanval veel minder effectief zijn. Hoe we ook klagen over de slechte beveiliging van Nederlandse PC's, we zijn relatief schoon en absoluut klein in aantal aangesloten systemen.

Peter
29-10-2014, 16:18 door Anoniem
En wie krijgt er dan de verantwoording over het afsluiten? Wie krijgt het technische deel voor zijn/haar kiezen? Is er een opt-in of opt-out mogelijkheid (voor mij als internetgebruiker die graag ook het "minder betrouwbare" internet wil kunnen zien)? En is het niet zo dat er doorlopend DDOS aanvallen zijn en dit dus een prima smoes is om censuur door te voeren?
29-10-2014, 16:34 door [Account Verwijderd]
[Verwijderd]
29-10-2014, 16:41 door Anoniem
Door depend: Wat als de Ddos aanval vanuit Nederland komt?

Dan is die veel simpeler aan te pakken dan een DDoS uit "ver weg".
Zelfde tijdzone, zelfde taal, en slachtoffer en bron zitten in dezelfde jurisdictie.
29-10-2014, 16:45 door Anoniem
Ach een beetje IDS, dropt ze gewoon en blacklist (automatisch) betreffende IP(s) gedurende een te configureren tijd....
29-10-2014, 18:13 door Anoniem
Door Picasa3:
En ja,
al in de middeleeuwen werd de brugwachter omgekocht of gecompromitteerd zodat hij de brug weer naar beneden deed.
Oftewel,
een typisch bromsnor idee.
Mag ik dan van u 1 historisch voorbeeld, met naam en plaats a.u.b.?

Slot Loevestein, 17 op 18 juli 1631
29-10-2014, 18:21 door Anoniem
Door Anoniem: Ach een beetje IDS, dropt ze gewoon en blacklist (automatisch) betreffende IP(s) gedurende een te configureren tijd....

Als je maar 1Gbit uplink hebt en je krijgt een 10Gbit DDoS voor je kiezen heb je niet zo veel meer aan je IDS..
En heb je je weleens afgevraagd wat een IDS zou kosten voor een partij als NL-IX? ;-)
29-10-2014, 18:23 door potshot
Door Picasa3:
En ja,
al in de middeleeuwen werd de brugwachter omgekocht of gecompromitteerd zodat hij de brug weer naar beneden deed.
Oftewel,
een typisch bromsnor idee.
Mag ik dan van u 1 historisch voorbeeld, met naam en plaats a.u.b.?

bij de chineese muur,een commandant gooide de poort open zodat dzengis khan china kon veroveren.
29-10-2014, 18:48 door Hans van Eijsden
Weak signatures, dubbel versturen van certificaten, geen Forward Secrecy, een anchor in de certificate chains, RC4 nog steeds ingeschakeld, geen HSTS, geen NPN - en dat noemt zichzelf The Hague Security Delta..?

https://www.ssllabs.com/ssltest/analyze.html?d=thehaguesecuritydelta.com

Sorry, help me even.. volgens mij mis ik iets.
29-10-2014, 20:01 door Anoniem
DDoS aanvallen komen typisch van "vertrouwde netwerken". De misconceptie zit hem in het veronderstelde bestaan van betrouwbare netwerken. Die bestaat niet, de meeste aanvallen komen van besmette computers die toebehoren aan legale entiteiten.
29-10-2014, 21:26 door Anoniem
Door Hans van Eijsden:Sorry, help me even.. volgens mij mis ik iets.
Geen DNSSEC (en dus ook geen DANE).

Oh, en sponsoring door de trademark-houder van "OV-Chipkaart", die vast wil toezien op responsible disclosure...
29-10-2014, 21:26 door Anoniem
dit klinkt allemaal wel mooi, het lijkt wel een vorm van marketing. in de achtergrond zijn belangrijke ISP's en exchanges al één a 2 jaar bezig met de ontwikkeling van een dergelijk systeem. heel simpel door een tabel van BGP-AS nummers bij te houden welk IP-adres er achter schuil gaat die bekend zijn bij hen. een bekend AS nummer met een onbekend IP zich meld blokkeer je simpelweg het verkeer. net als een onbekend AS nummer.

voorheen werdt dit niet gekoppeld aan het bekende IP-adres achter het AS nummer.
29-10-2014, 23:00 door Anoniem
Tja inderdaad dan krijg je censuur,mensen moeten zelf kunnen bepalen,wat ze kunnen vertrouwen en wat niet voor sites.
29-10-2014, 23:03 door Anoniem
Door Anoniem: Ach een beetje IDS, dropt ze gewoon en blacklist (automatisch) betreffende IP(s) gedurende een te configureren tijd....

Zo simpel ligt het niet bij een Layer-4 aanval.
Hierbij zit gewoon je volledige bandbreedte vol. Je mag ze dan zoveel droppe of blackliste als je wil. Als de weg naar het systeem dat ze moet droppen of blacklisten al vol zit komen ze daar als zelfs niet meer.
29-10-2014, 23:18 door Anoniem
Door Hans van Eijsden: Weak signatures, dubbel versturen van certificaten, geen Forward Secrecy, een anchor in de certificate chains, RC4 nog steeds ingeschakeld, geen HSTS, geen NPN - en dat noemt zichzelf The Hague Security Delta..?

https://www.ssllabs.com/ssltest/analyze.html?d=thehaguesecuritydelta.com

Sorry, help me even.. volgens mij mis ik iets.

+1 :)
29-10-2014, 23:36 door Anoniem
Door Anoniem: En wie krijgt er dan de verantwoording over het afsluiten?

Jezelf als website/host tijdelijk afsluiten van een deel van het Internet wordt uitsluitend bepaald door de website/host zelf. Het is dus geen apart nieuw nationaal netwerk met een of andere 'nationale aan/uitzet-authoriteit'.

De gebruikte techniek behelst het inregelen van BGP4-sessies met meerdere communties, waarvan je er dan 1 echt kunt vertrouwen. De website/host zit zelf aan het stuur van deze koppelingen.

Vertrouwen verkrijgt men door minimaal toe te zeggen dat je je netwerk op orde hebt (bv antispoofing) alsmede je organisatie (bv snel ingrijpen als de aanval uit je eigen netwerk blijkt te komen)

De oplossing is overigens bedoeld als laatste redmiddel bij zeer grote of langdurige aanvallen, voor gevallen waarbij 'standaard' techniek als scrubben of nulrouten niet meer mocht helpen, en de enige keuze is om hetzij geheel plat te gaan danwel nog minimaal bereikbaar te blijven vanuit de betrouwbare netwerken (te beginnen nationaal).
29-10-2014, 23:48 door Lowerland
terwijl belangrijke websites wel bereikbaar blijven voor bijvoorbeeld Nederlandse consumenten.

EN WIE? gaat er bepalen wat belangrijke websites zijn ?

alle websites zijn belangrijk in mijn mening !!
30-10-2014, 02:15 door Anoniem
Door Anoniem: Ach een beetje IDS, dropt ze gewoon en blacklist (automatisch) betreffende IP(s) gedurende een te configureren tijd....

Een DDoS is geen intrusion. Een DDoS is gewoon ontzettend veel, veelal legitiem, verkeer. Als jij 10Gbps verkeer naar jouw website krijgt, wordt dat echt niet tegengehouden door een IDS. Zoals al eerder aangegeven zorgt je leverancier er wel voor dat er niet meer dan 1Gbps bij jou binnenkomt. Als je daarnaast voor verkeer moet betalen, is het al helemaal een slechte keuze om het verkeer wel bij jou afgeleverd te krijgen om het vervolgens weg te gooien.

Loop de voorwaarden van een "onbeperkt verkeer" contract nog maar eens na.

Veel zullen ergens iets hebben staan dat excessief verkeer (dus ook van een DDoS) in rekening wordt gebracht.

Peter
30-10-2014, 02:22 door Anoniem
Door Anoniem: DDoS aanvallen komen typisch van "vertrouwde netwerken". De misconceptie zit hem in het veronderstelde bestaan van betrouwbare netwerken. Die bestaat niet, de meeste aanvallen komen van besmette computers die toebehoren aan legale entiteiten.

In feite zijn alle netwerken vertrouwd. Daar is internet op gebaseerd. Jij vertrouwt mij met jouw verkeer en ik vertrouw jou met mijn verkeer.

DDoS aanvallen komen van servers die niet goed zijn geconfigureerd (open resolvers, open NTP, SSDP, SNMP, QOTD) of beheerd. Dus ja, een DNS DDoS kan ook komen van een OpenDNS of Google nameserver, maar die zijn zo goed geconfigureerd dat ze dat detecteren en voorkomen. Wat de problemen veroorzaakt zijn al die Windows nameservers (AD) en thuisrouters waarbij resolving voor derden niet uitgezet kan worden.

En daarnaast al die "onbetrouwbare" provides die geen anti-spoofing maatregelen nemen omdat dat ingaat tegen hun commerciele belangen. Een aantal grote klanten zullen dan opstappen.

Peter
30-10-2014, 08:08 door Anoniem
Door Anoniem: En wie gaat de beslissing nemen om (een deel van) het internet offline te halen?

Daar komt vast wel een goed doortimmerde procedure voor die de verantwoordelijke gezagsdragers binnen 48 uur na de DDoS aanval in staat zal stellen een gefundeerde en in alle aspecten afgewogen beslissing te nemen.

;-)
30-10-2014, 09:09 door Anoniem
Ik vind dit een zeer slecht wapen en totaal geen vooruit gang, heb hier dan ook meer dan alleen kritiek op.
30-10-2014, 09:19 door Anoniem
Door Anoniem:
Door Picasa3:
En ja,
al in de middeleeuwen werd de brugwachter omgekocht of gecompromitteerd zodat hij de brug weer naar beneden deed.
Oftewel,
een typisch bromsnor idee.
Mag ik dan van u 1 historisch voorbeeld, met naam en plaats a.u.b.?

Slot Loevestein, 17 op 18 juli 1631

Prima antwoord, alleen jammer dat 1631 niet in de middeleeuwen valt. Maar in zeker opzicht versterkt dit het argument, zelfs in onze Gouden Eeuw kwam corruptie voor. [In onze moderne tijd is corruptie gelukkig uitgeroeid, haha].
30-10-2014, 10:24 door Anoniem
Door Lowerland:
alle websites zijn belangrijk in mijn mening !!
vaagwebwinkeltje.nl is minder belangrijk dan crisis.nl.
vaagwebwinkeltje.nl is welliswaar belangrijk, want crisis.nl bestaat niet zonder belastingcenten.
crisis.nl daarintegen is belangrijk want anders bestaat vaagwebwinkeltje.nl straks misschien niet meer.

Door Lowerland:
EN WIE? gaat er bepalen wat belangrijke websites zijn ?
Degene die een ASN (= Anarchistisch System Number ;) draait, en een NL-ix poort heeft, en daarop een BGP link met CleanIX kan activeren. Oftwel, misschien wel jouw provider, op een moment dat ze anders 0,0 aan diensten kunnen leveren.
30-10-2014, 13:05 door Anoniem
Door Anoniem:Ik vind dit een zeer slecht wapen en totaal geen vooruit gang, heb hier dan ook meer dan alleen kritiek op.
"Totaal geen voorruitgang" is als je je klanten niks kunt leveren, oftewel, jij niks kan bereiken.
Door Anoniem:heb hier dan ook meer dan alleen kritiek op.
Meer dan alleen kritiek? Ik las geen betere oplossing in jouw schreewerige "bijdrage".
Door Anoniem:alleen kritiek.
Blame de DDoS'ert, niet de package-movers.
31-10-2014, 14:46 door Anoniem
Door Anoniem: Ach een beetje IDS, dropt ze gewoon en blacklist (automatisch) betreffende IP(s) gedurende een te configureren tijd....

Een DDoS aanval mitigeren met een IDS als jou dat lukt dan hoor ik graag in detail hoe!

oh laat me je helpen: http://www.woorden.org/spreekwoord.php?woord=de%20klok%20horen%20luiden%20maar%20weet%20niet%20waar%20de%20klepel%20hangt
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.