Telecom Ramblings

PR Archives:  LatestBy Company By Date


Press Release -- February 28th, 2018
Source: AMS-IX
Tags:

Een simpele en stevige oplossing om vitale diensten te beschermen tegen DDoS-aanvallen

Blog door Henk Steenman, CTO AMS-IX

Internetconnectiviteit is van vitaal belang, zowel voor consumenten als het bedrijfsleven, voor een digitaal verbonden land als Nederland. Als Technisch Directeur van het internetknooppunt, AMS-IX, vind ik het niet acceptabel dat de recente DDoS-aanvallen van eind januari/ begin februari de dienstverlening van een aantal vitale diensten hebben kunnen ontwrichten. Vooral de impact op de maatschappij en de publieke discussie, die de aanval van beperkte omvang losmaakte, is voor mij een reden om als AMS-IX zijnde actie te ondernemen en voor te stellen dat we een stevige, simpele en kosteneffectieve technische oplossing bouwen en onderhouden.

In het weekend van 27 en 28 januari en de dagen erna werd de dienstverlening van een aantal vitale diensten (verschillende banken en de belastingdienst) verhinderd door een DDoS-aanval. Het tegengaan van DDoS-aanvallen is in zijn algemeenheid complexe materie, maar de impact op Nederlandse vitale diensten voor gebruik door Nederlandse eindgebruikers kan op een redelijk makkelijke manier te beperken zijn.

Voordat we in de details duiken, zou ik graag nog willen vermelden dat er al lange tijd gesproken wordt over algemene maatregelen om DDoS-aanvallen en met name die tegen vitale diensten voor de Nederlandse economie tegen te gaan. Hoewel er de afgelopen jaren meerdere initiatieven (zoals het Trusted Networks Initiative en de opvolger Dutch Continuity Board) zijn gestart, hebben die om verschillende redenen geen breed gedragen en vooral effectieve oplossing kunnen bieden, dat wil zeggen iets dat daadwerkelijk werkt.

Interconnectie vitale diensten en eindgebruikers

Image 1 All Clear

Het Internet bestaat bij de gratie van interconnectie: het is een netwerk van met elkaar verbonden netwerken. Normaliter heeft een vitale dienst toegang tot het internet via zijn Internet Service Provider (ISP).

Image 2 D Do S Attack

Bij een DDoS-aanval komt het grootste deel van het verkeer vanuit het algemene Internet, zelfs als het geïnitieerd wordt door een gebruiker die aangesloten is bij een Nederlandse ISP. In het geval van een dergelijke DDoS-aanval is het effect voornamelijk te zien op de services naar het internet van de vitale dienst.

Image 3 Ams Ix

Door de directe interconnectie tussen aanbieders van Nederlandse vitale diensten en aanbieders van Internettoegang aan Nederlandse eindgebruikers te scheiden van interconnectie met de rest van het Internet, kan de impact van een DDoS aanval vanuit het Internet op een vitale dienst voor die Nederlandse gebruikers gemitigeerd worden.

Om ook nog het DDoS-verkeer weg te halen dat afkomstig is vanuit de netwerken van de Nederlandse ISPs, kan gebruik worden gemaakt van DDoS-mitigatiesystemen zoals bijvoorbeeld de Nationale Wasstraat (NAWAS) of anderen die op dezelfde infrastructuur aanwezig zijn.

Dit is een stevige, simpele en kosteneffectieve technische oplossing. Enige vereiste is het maken van de fysieke verbindingen en het goed inregelen van de protocollen (BGP) die de routering tussen de deelnemers en de rest van het Internet bepaalt. Maar dat mag voor IT gedreven organisaties als de financiële dienstverleners die al hun diensten online aanbieden als triviaal verondersteld worden. Voor de Nederlandse ISPs is het business as usual.

Het is uiteraard wel van belang te bedenken dat naast de redelijk makkelijke technische oplossing er mogelijk commerciële relaties tussen verschillende partijen aangepast of geïmplementeerd dienen te worden. Maar dat is geheel aan de partijen zelf, AMS-IX heeft daar geen invloed op dan wel bemoeienis mee.

Meer dan alleen DDoS-mitigatie

De voorgestelde directe koppeling tussen vitale diensten en de Nederlandse ISPs is er niet één die enkel in het geval van een DDoS-aanval moet worden ingeschakeld. Wat AMS-IX betreft zou deze situatie juist permanent moeten bestaan omdat het een betere en stabielere connectiviteit tussen de verschillende partijen realiseert.

AMS-IX Plug-and-Play

AMS-IX biedt de infrastructuur aan die voor omschreven concept nodig is. Sterker nog, we maken gebruik van de bestaande, zeer robuste, fysieke infrastructuur. Interconnectie tussen partijen is namelijk wat wij al 20 jaar leveren, het is onze core business. AMS-IX is niet voor niets één van de grootste internetknooppunten ter wereld en onlangs tot vitaal infrastructuur bestempeld door de Ministeries van EZ&K en J&V.

Vier redenen waarom AMS-IX de partij is om dit te regelen

1. AMS-IX is een “not-for-profit” organisatie, opgericht voor het verbeteren van de interconnectie in het Internet in Nederland (*);
2. AMS-IX is neutraal in de zin dat we niet gelieerd zijn aan een van de bij ons aangesloten netwerken, maar ook niet aan een van de datacenters waar we onze diensten leveren of aan de overheid;
3. AMS-IX heeft ruime ervaring met het operationeel beheer van een van de grootste interconnectie knooppunten in de wereld;
4. Aansluiten bij AMS-IX is zeer eenvoudig. We zijn aanwezig in 14 van de meest vooraanstaande datacenters in Amsterdam, en ook daarbuiten in een groot aantal datacenters in Nederland via partners.

(*) “not-for-profit” maar ook “not-for-loss”. In het algemeen is AMS-IX winstgevend en financieel zeer gezond. Na het plegen van de vereiste reserveringen en het investeren in het platform om de continue groei en vraag naar capaciteit te faciliteren, wordt de resterende winst altijd teruggegeven aan de klanten in de vorm van prijsverlagingen.

PR Archives: Latest, By Company, By Date