Ontwikkelingen Nederlands (inter)netwerkverkeer
Peter Smid, Peter Kort
September 2019
Stukje proloog uit het nieuwe boek Huib Modderkolk
2
3
› Het niet beschikbaar zijn van het internet leidt tot maatschappelijke problemen.
› Andere voorbeelden hiervan zijn:
– In financiële sector=> het niet kunnen afwikkeling van betalingsverkeer, bijv banken die door DDoS aanvallen overspoeld worden, zodat zij betalingen van burgers en bedrijven niet meer kunnen verwerken.
– In publieke sector => niet kunnen inloggen op overheidsdienstverlening doordat DigiD en/of eHerkenning overspoeld worden door DDoS aanvallen.
‘De kwetsbaarheid van internet is een maatschappelijk vraagstuk’
4
› Al geruime tijd zijn Distributed Denial of Service (DDoS) aanvallen tegen diensten van de overheid een fact of life. De huidige strategie van de overheid om met DDoS aanvallen om te gaan, is het laten verwijderen van DDoS verkeer door leveranciers met‘wasstraten’. Met de stijgende lijn in het volume van de DDOS aanvallen is dit praktisch en financieel steeds lastiger vol te houden. Bij extreem grote aanvallen is het zelfs denkbaar dat de internetverbinding van een overheidsvoorziening verstopt raakt. In dat geval is de voorziening onbereikbaar voor burgers en bedrijven.
› Daarnaast is het door bundeling van diensten en onderlinge afhankelijkheden van diensten niet meer voldoende dat “ieder voor zich” in voldoende bescherming voorziet, aangezien het uitvallen van één dienst grote invloed kan hebben op verschillende andere diensten.
Context kwaliteitspeering
5
Principe van kwaliteitspeering
6
Kwetsbaarheid intern overheidsverkeer via Internet
Burgers
Internet
Internet(mobiel, bekabeld)
Applicaties en Informatievan de overheid in
overheidsdatacenters
Bedrijven
Internet(mobiel, bekabeld)
Applicaties en Informatievan de overheid
extern gehost (cloud)
Internet
Applicaties en Informatievan de overheid in datacenters
DiginetwerkBurgers
Internet(mobiel, bekabeld)
Bedrijven
Internet(mobiel, bekabeld)
Applicaties en Informatievan de overheid
extern gehost (cloud)
=>Introductie Diginetwerk
Internet
Applicaties en Informatievan de overheid in datacenters
DiginetwerkBurgers
Internet(mobiel, bekabeld)
Bedrijven
Internet(mobiel, bekabeld)
Applicaties en Informatievan de overheid
extern gehost (cloud)
Kwetsbaarheid diensten aan burgers en bedrijven
Internet
Applicaties en Informatievan de overheid in datacenters
DiginetwerkBurgers
Internet(mobiel, bekabeld)
Bedrijven
Internet(mobiel, bekabeld)
Applicaties en Informatievan de overheid
extern gehost (cloud)
Kwetsbaarheid diensten aan burgers en bedrijven
Diginetwerk
Nederland
Rest van de wereld
Applicaties en Informatievan de overheid in
overheidsdatacenters
Applicaties en Informatievan de overheid
extern gehost (cloud)
Nederlandse burgers en bedrijven in het
buitenland
Burgers en bedrijven in Nederland
Onze klanten zitten grotendeels in NL ...
...en DDOS bronnen buiten Nederland.
Diginetwerk
Applicaties en Informatievan de overheid in
overheidsdatacenters
Applicaties en Informatievan de overheid
extern gehost (cloud)
Nederlandse burgers en bedrijven in het
buitenland
Burgers en bedrijven in Nederland
DDOS aanval
Nederland
Rest van de wereld
DDOS aanval
DDOS aanval
Diginetwerk
KPN
Vodafone/Ziggo
Tele2
Nederland
Rest van de wereld
Applicaties en Informatievan de overheid in
overheidsdatacenters
Applicaties en Informatievan de overheid
extern gehost (cloud)
Nederlandse burgers en bedrijven in het
buitenland
Burgers en bedrijven in Nederland
Kwaliteitspeering
Vrije “busbaan” voor de klanten van de ISP’s in Nederland...
... reduceert impact DDOS enorm.
=> Introductie Kwaliteitspeering
› Volume-based aanvallen, waarbij de aanvaller zoveel bandbreedte creëert dat netwerk verbindingen en systemen overbelast raken;
› Protocol aanvallen, die er voor zorgen dat firewalls, load balancers en webserver niet goed meer functioneren;
› Applicatie aanvallen, die kwetsbaarheden benutten in applicaties en diensten om deze uit te schakelen.
Drie soorten DDoS-aanvallen:
14
› Blackholing
› DDOS wasstraten
› Content Delivery Networks (CDN)
› Kwaliteitspeering
→ Grofstoffelijk
→ Kostbaar
→ Statische Content, & sleutel issues
→ Lokale oplossing
Mogelijke Anti-DDOS maatregelen
15
16
Burgers&bedrijven (klant KPN)
Diensten Platform Logius
KwaliteitsPeeringPlatform
KPN
NLIX
Tele2Vodafone/
Ziggo
Diensten Belastingdienst
digid.nl
Equinix KPN Tele2
belastingdienst.nl
PeeringdomeinTransitdomein Transitdomein
Rest of Internet
Burgers&bedrijven (klant Tele2) Burgers&bedrijven (klant V/Z)
Prefixes Logius
Prefixes BD
Prefixes Logius+BD no export
Prefixes BD
Prefixes Logius Prefixes BD
Prefixes Logius
Prefixes klant KPN Prefixes klant Tele2Prefixes klant
Vodafone/Ziggo
Prefixes Logius, KPN,Tele2,
Vodafone/Ziggo
Prefixes BD, KPN,Tele2,
Vodafone/Ziggo
› Proof of Concept succesvol
– Met KPN, Tele2, Vodafone/Ziggo
› Meedoen aan grote DDOS test 19 oktober
– Logius platform en platform Belastingdienst
– Uitwerken testscenario’s
– Jair Santanna Universiteit Twente betrokken
› Ook andere benefits komen in beeld
› In productie voor één Logius service (Q4)
Status
17
› Basisprincipe is afnemers hebben eenvoudig toegang tot de dienst (BP03)
› Afgeleide principe (AP09) dat internet het voorkeurskanaal is voor burgers en bedrijven met de overheid.
› Afbreukrisico van internet is dat continuiteitsafspraken end- to-end niet mogelijk zijn. Dit laatste is in strijd met basisprincipe betrouwbaar (BP09) en de afgeleide principe is beschikbaarheid (AP 41).
› De continuïteitsafspraken zijn gemaakt op basis van de afbreukrisico's die afnemers lopen bij uitval. Afnemers verwachten 24 uur per dag, 7 dagen per week zaken te kunnen afhandelen, de continuïteit en beschikbaarheid van de dienstverlening is belangrijk (AP41).
› De uitdaging is de continuïteit van het gebruik van het internet te verbeteren.
Waarom NORA?
18
› Draagvlak creëren
› Voor het verhogen van de continuïteit Digitale Overheid
– Diginetwerk
– Kwaliteitspeering ‘busbanen’ op internet
Waarom staan wij hier?
19
› Interessante ontwikkeling?
› Relevante ontwikkeling?
› Hoe te verankeren in NORA?– Bijv. afgeleid principe dat het voorkeurskanaal Diginetwerk is voor onderling
verkeer van de overheid.
– Bijv. aanvullingen op AP41 beschikbaarheid: Beschikbaarheid van Internetverkeer tussen burgers en bedrijven en digitale overheidsdiensten wordt geborgd middels kwaliteitspeering.
› Zelf toepassen van kwaliteitspeering methode?
› Deelname aan een gebruikersoverleg?– Verstevigen van positie richting Internet Service Providers door het interessant
voor ze te maken.
Wat wordt er van NORA gevraagd?
20
Er zijn nog steeds velen die dit niet weten.
Wij wel!
Wat hebben wij gedaan aan maatregelen?
De oorlog is nog steeds gaande
21
Peter SmidProductowner Team ConnectLogius
T 06 25 45 23 96 [email protected]
Peter KortNetwerkarchitectLogius
T 06 15 04 83 24 [email protected]
Backup
23
24
Burgers&bedrijven in NL
Diensten Platform Logius
KwaliteitsPeeringPlatform
KPN Tele2Vodafone/Ziggo AS????
Diensten Belastingdienst
digid.nl
Equinix KPN Tele2
belastingdienst.nl
PeeringdomeinTransitdomein Transitdomein
Nog niet aktief
Burgers&bedrijven (overig ) Burgers&bedrijven (overig )
Te realiseren verbinding tussen Kwaliteitspeeringplatform en platform
Belastingdienst (Voorstel: E-line van Defensie tussen
Equinix AM3 en ODC Apeldoorn)
Alternatief: Peeringverbinding met KPN en/of Tele2
Rest of Internet
25
Burgers&bedrijven in NL
Diensten Platform LogiusAS62003
KwaliteitsPeeringPlatformAS210207
KPN
NLIX
Tele2Vodafone/
Ziggo
Diensten BelastingdienstAS24595
digid.nl
Equinix KPN
AS286Tele2
AS13127
belastingdienst.nl
PeeringdomeinTransitdomein Transitdomein
Nog niet aktief
NIKHEFAS????
Aanvaller
Rest of Internet
Burgers&bedrijven (overig ) Burgers&bedrijven (overig )
Aanval op transitAanval op transit
Geen impact op verkeer tussen digid & belastingdienst
Geen impact voor klanten van KPN, Tele2 en VodafoneZiggo naar digid & belastingdienst
Tele2 AS1257
Top Related