SURFcert DDoS-bescherming
21/Apr 2015
Wie heeft er niet van gehoord? DDoS-aanvallen op banken en de overheid. Wie had echter verwacht dat ook een gewone onderwijsinstelling hier last van zou kunnen hebben? Het is echter de dagelijkse realiteit in Nederland.
DDoS aanval
Bij een DDoS-aanval wordt de reguliere capaciteit van een systeem,
online dienst en/of de infrastructuur aangevallen door deze te
overladen met dataverkeer. Dit kan ten koste gaan van de
bereikbaarheid. DDoS-aanvallen kunnen gericht zijn op een specifiek
onderdeel, bijvoorbeeld een database die gebruikt wordt bij een online
dienst, of op de netwerkverbinding zelf.
De vraag die een instelling zich de eerste keer stelt, is waarom iemand vanuit internet hun aansluiting aanvalt. Niemand kan toch tegen goed onderwijs zijn? Er draaien geen gevoelige diensten op hun netwerk. Ze hosten geen gok- en gamesites.
Examens
Tot het opvalt dat de aanvallen redelijk gelijk oplopen met bepaalde lessen en/of examens. En dat tijdens die lessen en examens veelvuldig gebruik gemaakt moet worden van internet. Internet dat tijdens een aanval niet beschikbaar is. Dan realiseert men zich plotseling dat de aanval van binnenuit wordt aangestuurd.
Dat is ook wel gemakkelijk. Er zijn tientallen sites waar je tegen een miniem bedrag, of soms gratis als demo, een "stresstest" van je eigen aansluiting (= IP-adres) kunt bestellen. Omdat veel instellingen nog steeds gebruik maken van NAT (zie mijn posting The good, the bad and NAT is het resultaat een aanval op de hele instelling. Niet dat verschillende IP-adressen de impact van de aanval zou verminderen. Het helpt echter wel om de daders te vinden.
Omdat het vinden van de daders en, daardoor, het stoppen van de aanvallen vaak enige tijd kost, is het handig als er een mogelijkheid bestaat om de impact van een dergelijke aanval te minimaliseren of zelfs helemaal weg te nemen. Daar komt SURFcert te hulp. SURFcert heeft de beschikking over een wasmachine en we kunnen op de routers van SURFnet specifieke netwerkfilters aan laten brengen. Verder kan SURFcert assisteren bij het analyseren van de aanval.
Wasmachine
De wasmachine kan door SURFcert direct ingeschakeld worden. Dat betekent dat de impact van een aanval snel verminderd kan worden. Hiervoor wordt verkeer naar het aangevallen IP-adres omgeleid naar de wasmachine. Daar wordt het ongewenste verkeer, zo veel mogelijk, verwijderd. Het overige verkeer wordt ongestoord doorgelaten met als gevolg dat overbelasting van de aansluiting wordt gestopt.
Vanwege het karakter van deze werkwijze kan dit niet te lang voortduren. Als een instelling vaker wordt aangevallen, is het verstandig om direct aan de slag te gaan met een meer permanente oplossing.
Netwerkfilters
Deze filters worden op verzoek van SURFcert
in het SURFnet-netwerk
opgenomen. Ze beschermen preventief tegen enkele veel voorkomende
aanvallen. Ze limiteren de hoeveelheid verkeer dat via een aantal
protocollen, die bij DDoS-aanvallen veel misbruikt worden, doorgelaten
worden. SURFcert plaatst deze filters alleen op verzoek van Site
Security Contact (SSC) van de instelling.
Bij instellingen waarbij de aansluiting niet overbelast wordt, maar bepaalde delen van het interne netwerk last hebben van de aanval, kan SURFcert adviseren over maatregelen die de instelling zelf kan nemen om de impact van een DDoS-aanval te minimaliseren.
Ook zelf aan de slag
Cybersecurity blijft een wapenwedloop tussen de netwerkbeheerders en security-specialisten aan de ene kant en leveranciers van "stresstesten" en hun klanten aan de andere kant. We kunnen niet garanderen dat we alle toekomstige aanvalsmethoden kunnen blokkeren. Daarom moet de instelling ook zelf aan de slag met niet-technische oplossingen. Monitoring is hier van cruciaal belang om daders op te sporen en ter verantwoording te roepen.
Opsporing en voorlichting helpen toekomstige aanvallen, zeker vanuit uw eigen netwerk, te voorkomen. Probeer daarom, eventueel met hulp van buitenaf, de veroorzakers te vinden en indien mogelijk ter verantwoording te roepen. Monitoring helpt bij detectie en analyse en hiervoor kunnen instellingen ook gebruik maken van networkmonitoring die via SURFnet beschikbaar is:
Aanvallen op ICT-systemen zijn niet te voorkomen. SURFcert helpt u graag om de impact hiervan te minimaliseren. Er is een alarmnummer beschikbaar dat 24⁄7 bereikbaar is: +31-622923564. Ook voor advies over beschermingsmaatregelen kunt u SURFcert altijd benaderen. Daarvoor kunt u uw vragen sturen naar SURFcert.
Disclaimer
Dit artikel is eerder gepubliceerd op de blog van SURFnet.