SURFcert DDoS-bescherming

Wie heeft er niet van gehoord? DDoS-aanvallen op banken en de overheid. Wie had echter verwacht dat ook een gewone onderwijsinstelling hier last van zou kunnen hebben? Het is echter de dagelijkse realiteit in Nederland.

DD0S-aanval

Bij een DDoS-aanval wordt de reguliere capaciteit van een systeem, online dienst en/of de infrastructuur aangevallen door deze te overladen met dataverkeer. Dit kan ten koste gaan van de bereikbaarheid. DDoS-aanvallen kunnen gericht zijn op een specifiek onderdeel, bijvoorbeeld een database die gebruikt wordt bij een online dienst, of op de netwerkverbinding zelf.

De vraag die een instelling zich de eerste keer stelt, is waarom iemand vanuit internet hun aansluiting aanvalt. Niemand kan toch tegen goed onderwijs zijn? Er draaien geen gevoelige diensten op hun netwerk. Ze hosten geen gok- en gamesites.

Examens

Tot het opvalt dat de aanvallen redelijk gelijk oplopen met bepaalde lessen en/of examens. En dat tijdens die lessen en examens veelvuldig gebruik gemaakt moet worden van internet. Internet dat tijdens een aanval niet beschikbaar is. Dan realiseert men zich plotseling dat de aanval van binnenuit wordt aangestuurd.

Dat is ook wel gemakkelijk. Er zijn tientallen sites waar je tegen een miniem bedrag, of soms gratis als demo, een “stresstest” van je eigen aansluiting (= IP-adres) kunt bestellen. Omdat veel instellingen nog steeds gebruik maken van NAT (zie mijn blog “The good, the bad and NAT”) is het resultaat een aanval op de hele instelling. Niet dat verschillende IP-adressen de impact van de aanval zou verminderen. Het helpt echter wel om de daders te vinden.

Verkeer dat is verstuurd naar een instelling, met pieken tot 30 Gb.
Verkeer dat is verstuurd naar een instelling, met pieken tot 30 Gb.

Omdat het vinden van de daders en, daardoor, het stoppen van de aanvallen vaak enige tijd kost, is het handig als er een mogelijkheid bestaat om de impact van een dergelijke aanval te minimaliseren of zelfs helemaal weg te nemen. Daar komt SURFcert te hulp. SURFcert heeft de beschikking over een wasmachine en we kunnen op de routers van SURFnet specifieke netwerkfilters aan laten brengen. Verder kan SURFcert assisteren bij het analyseren van de aanval.

Wasmachine

De wasmachine kan door SURFcert direct ingeschakeld worden. Dat betekent dat de impact van een aanval snel verminderd kan worden. Hiervoor wordt verkeer naar het aangevallen IP-adres omgeleid naar de wasmachine. Daar wordt het ongewenste verkeer, zo veel mogelijk, verwijderd. Het overige verkeer wordt ongestoord doorgelaten met als gevolg dat overbelasting van de aansluiting wordt gestopt.

Vanwege het karakter van deze werkwijze kan dit niet te lang voortduren. Als een instelling vaker wordt aangevallen, is het verstandig om direct aan de slag te gaan met een meer permanente oplossing.

Netwerkfilters

Deze filters worden op verzoek van SURFcert in het SURFnet-netwerk opgenomen. Ze beschermen preventief tegen enkele veel voorkomende aanvallen. Ze limiteren de hoeveelheid verkeer dat via een aantal protocollen, die bij DDoS-aanvallen veel misbruikt worden, doorgelaten worden. SURFcert plaatst deze filters alleen op verzoek van Site Security Contact (SSC) van de instelling.

Bij instellingen waarbij de aansluiting niet overbelast wordt, maar bepaalde delen van het interne netwerk last hebben van de aanval, kan SURFcert adviseren over maatregelen die de instelling zelf kan nemen om de impact van een DDoS-aanval te minimaliseren.

Verkeer dat naar instelling is gegaan na maatregelen.
Verkeer dat naar instelling is gegaan na maatregelen.

Ook zelf aan de slag

Cybersecurity blijft een wapenwedloop tussen de netwerkbeheerders en security-specialisten aan de ene kant en leveranciers van “stresstesten” en hun klanten aan de andere kant. We kunnen niet garanderen dat we alle toekomstige aanvalsmethoden kunnen blokkeren. Daarom moet de instelling ook zelf aan de slag met niet-technische oplossingen. Monitoring is hier van cruciaal belang om daders op te sporen en ter verantwoording te roepen.

Opsporing en voorlichting helpen toekomstige aanvallen, zeker vanuit uw eigen netwerk, te voorkomen. Probeer daarom, eventueel met hulp van buitenaf, de veroorzakers te vinden en indien mogelijk ter verantwoording te roepen. Monitoring helpt bij detectie en analyse en hiervoor kunnen instellingen ook gebruik maken van networkmonitoring die via SURFnet beschikbaar is (zie afbeeldingen hierboven).

Aanvallen op ICT-systemen zijn niet te voorkomen. SURFcert helpt u graag om de impact hiervan te minimaliseren. Er is een alarmnummer beschikbaar dat 24/7 bereikbaar is: +31-622923564. Ook voor advies over beschermingsmaatregelen kunt u SURFcert altijd benaderen. Daarvoor kunt u uw vragen sturen naar cert@surfnet.nl.

Meer informatie over SURFcert is te vinden op de website van SURF

Author

Comments

Dit artikel heeft 0 reacties