Netwerken
4/Apr 2014
Ik heb de afgelopen weken flink wat genetwerkt. Niet het netwerk waar je in eerste instantie aan denkt als je het over internet hebt. Nee, ik heb even tijd genomen om met allerlei klanten, leveranciers, concurrenten en aanverwante partijen gezellig bij elkaar te komen en onze gezamelijke punten te bespreken.
IPv6
Maar voor ik over dat netwerken begin, eerst nog even over iets wat wel met internet te maken heeft. Ik heb vorige maand aangegeven dat we IPv6 bijna overal operationeel hadden. Ik had iets te vroeg gejuigd. De VLAN's in het Twents Datacentrum waren nog niet gereed op het moment van schrijven. Nu zijn alle VLAN's waar uw servers, co-located of leased, aan hangen ook geschikt om IPv6 te transporteren.
Neem contact op met onze servicedesk als u ook IPv6 wilt gaan gebruiken. Het aanzetten en toewijzen van een /64 is simpel en kost u verder niets. Alleen als u wenst dat wij uw server voor IPv6 configureren, brengen we een klein bedrag in rekening.
Ik was ook wat te vroeg t.a.v. de websites. De laatste sites zijn pas na de vorige Achterkrant ook echt overgezet.
IPv6 en xDSL
We zijn aan het kijken naar mogelijkheden om ook op xDSL IPv6 te implementeren. Daarvoor zal we een aantal van onze klanten hoogstwaarschijnlijk over moeten zetten naar een andere leverancier. U wordt hierover tijdig geïnformeerd.
NaWas
Afgelopen vrijdag ben ik op bezoek geweest in Amsterdam ter gelegenheid van de opening van de Nationale Anti- DDoS Wasstraat (NaWas). Het is een serie apparaten waarmee het mogelijk is om grotere en kleinere DDoS aanvallen af te weren. De wasstraat moet nog wat geconfigureerd worden, maar daarna kunnen diverse partijen er gebruik van maken.
Zwitserland
Afgelopen maand heb ik weer een week in Adliswil, Zwitserland, doorgebracht. Ik moest een aantal zaken uitzoeken, documenteren en andere stukken schrijven. Dat lukt het beste als je dat ongestoord kunt doen. De hele ochtend schrijven, goed lunchen en dan is ook de middag productief.
Wat heeft dit met netwerken te maken? Ik heb een paar keer lekker gegeten en gekletst met partners (Spooglers) van Google medewerkers in Zürich (Zooglers). Een aantal van hen is bezig om een bedrijf op te zetten om tablets te introduceren in Zwitserse scholen. Ja, op dat gebied lopen die nog een beetje achter.
Beveiliging
Ik heb ook weer veel tijd besteed aan beveiliging. Op dat gebied is er weer veel overleg geweest. Denk bijvoorbeeld aan het gevaar van WordPress sites, waarvan de beheerder de software niet voorziet van updates en patches. Niet alleen dat die sites misbruikt kunnen worden voor een aanval. Nee, de beheerder stelt ook zijn gebruikers open voor aanvallen waarbij er malware wordt verspreid naar hun computers.
DDoS
NaWas was niet het enige netwerkgebabbel op het gebied van DDoS dat ik heb gehad in maart. Het ziet er naar uit dat dergelijke aanvallen een structureel probleem beginnen te worden. Er zijn twee fundamentele oorzaken aan te wijzen.
In de eerste plaats zijn er nog steeds (transit) providers die het toestaan dat er vanaf hun netwerk verkeer verstuurd kan worden met vervalste IP-adressen. Dat doen ze, omdat ze het te lastig vinden om dat goed te configureren. Ze wijzen de verantwoordelijkheid af en geven hun klanten de schuld, terwijl ze dat best zelf ook kunnen instellen, zoals SURFnet dat doet.
Een ander type providers zit aan de donkere kant van internet. Zij bieden de mogelijkheid om IP adressen te vervalsen juist als dienst aan. Hierbij gebruik makend van de laksheid van de transitproviders.
De tweede oorzaak is dieper gelegen. Veel oude protocollen (CHARGEN, NTP, SNMP) zijn ontwikkeld in de tijd dat er nog geen donkere kant aan internet zat. Alles wat nu misbruikt wordt, is in het verleden bedacht om elkaar te kunnen helpen. NTP stond open zodat iedereen elkaars klok kon gebruiken en dat zorgde ervoor dat iedereen wist hoe laat het precies was.
Nu is het aan de gebruikers om misbruik van die protocollen te voorkomen. Gelukkig is dat meestal eenvoudig te realiseren met een paar firewall regels.
Disclaimer
Dit artikel is eerder gepubliceerd als een officiële Achterkrant voor Internet Access Facilities.