• partner

  • partner

  • partner

Blog

  • Drie misverstanden over het Trusted Networks Initiative

    15.05.15 | Door: Yellow Communications

    In de jaren tachtig verscheen er een grappige commercial van kaasfabrikant ERU op televisie, waarin het Belegh van Woerden in de Tachtigjarige Oorlog in scène was gezet. De belegeraars bekogelden de stadsmuren met kazen en omgekeerd gooiden de stedelingen, bij gebrek aan kokend pek, gesmolten kaas over hen heen. Het verhaal is uit de duim gezogen, maar sindsdien is ‘Ze smelten de kazen’ een gevleugelde uitspraak. Het betekent volgens de overlevering zoiets als: te wapen! De vijand is de wanhoop nabij.

    Anno 2015 maakt het Trusted Networks Initiative (TNI) het mogelijk om in “oorlogstijd” verkeer van een “Trusted Network” door te laten en een ander deel van het internet tijdelijk af te sluiten om zo een Distributed Denial of Service (DDoS)-aanval af te slaan. Op deze manier blijven belangrijke websites wel bereikbaar voor (Nederlandse) consumenten. Het nieuwe wapen, een soort digitale ophaalbrug, wordt ingezet tegen zware en langdurige DDoS-aanvallen. Het initiatief behoeft nadere uitleg om eventuele misverstanden te voorkomen.

    Misverstanden
    Bedrijven en overheden die delen van het internet willen blokkeren of filteren stuiten al snel op maatschappelijke weerstand. Organisaties als Bits of Freedom maken zich sterk voor een internet zonder filters. Om maar direct een eerste misverstand uit de weg te ruimen, het Trusted Networks Initiative maakt geen inbreuk op het in de Nederlandse wet verankerde principe van netneutraliteit. Een contentprovider is nu al verantwoordelijk voor het (eventueel “restricted”) uitserveren van content. Dit is slechts een extra middel waarmee een contentprovider (dus geen tussenliggende carrier of access provider) kan aangeven bepaald verkeer te blokkeren. Daarnaast is het TNI een volstrekt neutrale organisatie waar iedereen tegen dezelfde voorwaarden kan aansluiten. In eerste instantie ligt de focus weliswaar op Nederlandse partijen, maar in een later stadium kan er wellicht nog een tweede “gracht” worden aangelegd waarbinnen ook partijen buiten Nederland toegang kunnen krijgen. Contentproviders bepalen dan bij een aanval welk deel van het TNI ze nog wel toegang willen geven tot de dienst. Niet vanuit de gedachte van censuur, maar om de betreffende dienst tijdens een aanval dan in ieder geval voor dat deel van TNI nog beschikbaar te houden.

    Het Trusted Networks Initiative heeft ook niets te maken met Deep Packet Inspection (DPI), een omstreden techniek waarmee netwerkaanbieders datapakketten die over hun netwerk worden getransporteerd diepgaand analyseren. Het TNI analyseert geen datapakketten, maar classificeert partijen en kijkt of deze aan bepaalde voorwaarden voldoen.

    In Nederland verbiedt de Autoriteit Consument & Markt overeenkomsten tussen ondernemingen die de mededinging op de Nederlandse markt of een deel daarvan verhinderen, beperken of vervalsen. Gezamenlijk hebben AMS-IX, ASP4all Bitbrains, ING, NL-ix, Logius en Rabobank afgesproken om korte metten te maken met zware DDoS-aanvallen. Ons doel is echter niet om de concurrentie te verhinderen, maar om de economische schade en overlast van cyberaanvallen zoveel mogelijk te beperken. Het TNI is bovendien een open initiatief.

    Hiermee hebben we drie misverstanden uit de weg geruimd. TNI is geen filter, geen DPI en TNI is open. Maar de hamvraag is: wat doet het Trusted Networks Initiative dan wel?

    VLAN 112
    Binnen het vertrouwde domein van de belangrijkste Nederlandse internetknooppunten NL-ix en AMS-IX krijgen de bij het TNI aangesloten bedrijven naast hun reguliere toegang tot het wereldwijde internet ook een speciale connectie met een virtueel netwerk, toepasselijk VLAN-112 genoemd. Daarnaast krijgen ze een voor TNI dedicated routeserver toegewezen. Bij een hardnekkige DDoS-aanval, waarbij de reguliere anti-DDoS-middelen niet afdoende werken, kan de contentprovider op enig moment besluiten om toegang vanaf het niet-vertrouwde deel van het internet te blokkeren, de aangevallen website los te koppelen en het internetverkeer vanaf dat moment via het TNI te laten verlopen.

    Anti-spoofing
    Het Trusted Networks Initiative richt zich specifiek op alle contentproviders en vaste en mobiele netwerk operators die beschikken over eigen routeringsfaciliteiten. Concreet moeten ze in het bezit zijn van een eigen AS-nummer, een eigen blok met minimaal 256 IP-adressen waarmee ze kunnen adverteren en een aansluiting op een carrier neutraal datacenter via het Border Gateway Protocol versie 4. BGP is het belangrijkste routeringsprotocol van het internet; het wordt gebruikt om verkeer tussen verschillende providers te kunnen routeren. Als een partij voldoet aan de minimale eisen op het gebied van DDoS-preventie krijgt het desgewenst een certificaat van het Trusted Networks Initiative. Het gaat hierbij onder andere om anti-spoofing maatregelen en organisatorische maatregelen om zelf snel in te grijpen bij aanvallen vanuit het eigen netwerk, zoals een 24 x 7 operationeel Network Operations Center (NOC).

    CaaS
    Tegenwoordig is Cybercrime-as-a Service (CaaS) een fact of life. Voor enkele honderden dollars kun je een botnet huren waarmee je een DDoS-aanval kan plegen. Hiermee kun je de website van een middelgrote tot grote onderneming volledig plat leggen. Voor de lol, omdat het kan, zoals ‘script kiddies’ redeneren, uit ideologische, hacktivistische overwegingen, maar zelfs ook om een concurrent te dwarsbomen.

    Laatste redmiddel
    Het afsluiten van delen van het internet is, net als het vermeende smelten van de kazen in Woerden, een extreem, laatste redmiddel in oorlogstijd. Het wordt alleen ingezet als conventionele maatregelen om een omvangrijke DDoS-aanval af te slaan, zoals scrubbing niet meer werken of te duur zijn. Het zijn de individuele service providers die deze beslissing nemen. Er is geen centrale autoriteit, laat staan een overspannen garnizoenscommandant die daarover gaat. Het TNI is ook geen wanhoopsactie, maar een zorgvuldig afgewogen middel om de impact van aanvallen te beperken.

    Marc Guardiola, Lead Architect bij ASP4all Bitbrains

trefwoorden

ddos |bitbrains |asp4all |

Meest gelezen op IT Executive

Meest bekeken partnercontent