Insights, technology, people and more

Altijd up-to-date met onze laatste artikelen.

@
Hoe Cyso DDoS aanvallen buiten de poort houdt

Hoe Cyso DDoS aanvallen buiten de poort houdt

2 March 2016 door in Security

De DDoS aanval is helaas een nog steeds groeiende vorm van cybercriminaliteit. Om deze succesvol het hoofd te kunnen bieden en onze klanten hiertegen te beschermen, hebben wij in 2011 al besloten om hiervoor specialistische apparatuur aan te schaffen. Die investering is bijzonder succesvol en heeft door de jaren heen zijn waarde meer dan bewezen. Toch vreesden wij dat onze oplossing binnen afzienbare tijd niet meer zou volstaan en achtten wij uitbreiding noodzakelijk.

DDoS aanvallen nemen namelijk niet alleen in aantal toe, maar ook in grootte en intensiteit. Aangezien de investeringen in DDoS mitigation apparatuur erg groot zijn, hebben wij besloten om, naast onze eigen apparatuur, gebruik te gaan maken van de Nationale Anti-DDoS Wasstraat (NaWas). Hier vindt u het persbericht.

Wat betekent dat voor onze anti-DDoS oplossing?

Onze bestaande anti-DDoS oplossing en apparatuur blijft gewoon actief voor ons gehele netwerk en blijft onze eerstelijns bescherming. Deze wordt nu echter uitgebreid met een tweede niveau van DDoS bescherming die wij zowel automatisch als handmatig kunnen inschakelen. Naast onze in-house oplossing, beschikken wij nu dus ook over een out-of-path oplossing die bestaat uit een verzameling anti-DDoS apparatuur van verschillende fabrikanten, direct aangesloten is op de AMS-IX en een aanzienlijk grotere capaciteit bezit dan onze eigen DDoS oplossing.

Hoe werken de twee oplossingen?

In het geval van een DDoS aanval die we zelf afvangen, wordt na het signaleren van de aanval door ons detectiesysteem, het verkeer vanaf de routers direct naar onze anti-DDos apparatuur gestuurd. Deze ‘wast’ vervolgens het verkeer en stuurt het schone dataverkeer (legitiem verkeer) daarna door naar de bestemming waarvoor het bedoeld was.

NaWas1
Figuur 1: in-house DDoS mitigation

 

Als wij de Nationale anti-DDoS Wasstraat inzetten, wordt verkeer voordat het ons netwerk in gaat eerst naar de NaWas gestuurd. Daar wordt het schoongemaakt en vervolgens alsnog naar ons netwerk gestuurd.

 

NaWas2
Figuur 2: out-of-path DDoS mitigation

Verschil in filtering en routering

Onze eigen DDoS toepassing kan zeer specifiek (per IP adres) ingezet worden; bij het inzetten van de NaWas dient er direct een heel /24 blok naar toe te worden gerouteerd (256 IP adressen). Dat betekent dat er minder precies ingegrepen kan worden en dat ook veel legitiem verkeer (van diensten en websites die niet worden aangevallen) eerst door de NaWas gaat voordat het terug ons netwerk in gaat. Bij de inzet van de NaWas treedt er dus voor het betrokken netwerkdeel extra latency op.

Een ander verschil is dat Cyso bij onze in-house toepassing nog steeds de volledige controle heeft. Al het verkeer gaat nog steeds door ons eigen netwerk en onze eigen apparatuur en wij kunnen daardoor precies zien wat er gebeurt, wat voor aard de aanval heeft, hoe groot een aanval is, of deze afneemt of juist groeit, enzovoorts. Op het moment dat wij de NaWas inzetten, gaat al dat verkeer niet meer door ons netwerk en hebben we er daardoor geen inzicht meer in en kunnen er ook geen invloed meer op uitoefenen. We geven controle uit handen.


Lees ook: In de schaduw van de DDoS aanval: minder zichtbare vormen van cyberaanvallen

Welkome aanvulling voor escalatie

De NaWas vormt een zeer welkome uitbreiding op onze eigen anti-DDoS oplossing. De grote capaciteit en diversiteit van apparatuur maakt het een betrouwbare en voordelige aanvulling. Maar er kleven dus ook nadelen aan de NaWas oplossing. Daarom zullen wij in de praktijk altijd proberen het in-house op te lossen, en pas te escaleren naar de NaWas als onze eigen anti-DDoS toepassing de aanval niet kan afslaan.

Toekomstmuziek: aanpakken bij de bron

Maar nog veel liever zouden wij zien dat er een andere aanpak mogelijk is om DDoS aanvallen te bestrijden, namelijk door deze te voorkomen. Maar daarvoor dienen deze aangepakt te kunnen worden bij de bron: transits en access providers. Als DDoS aanvallen op deze locaties decentraal kunnen worden gedetecteerd en direct bij de bron kunnen worden tegengehouden, wordt voorkomen dat het doelwit van de aanval de almaar groeiende hoeveelheid verkeer moet verwerken. Wij hopen van harte dat het internet hier in de nabije toekomst een oplossing voor gaat vinden.

Maar tot dat zover is, zorgen wij er in ieder geval voor dat wij bescherming kunnen bieden voor onszelf en onze klanten.


Altijd up-to-date met onze laatste artikelen.

@

Kwaliteit. Betrouwbaar. Betrokken.
  • 24/7 service support
  • Nederlandse datacenters
  • ISO 27001 gecertificeerd
vmware enterprise service provider