Ontwikkelingen Nederlands (inter)netwerkverkeer...Peter Smid, Peter Kort September 2019 Stukje...

Ontwikkelingen Nederlands (inter)netwerkverkeer

Peter Smid, Peter Kort

September 2019

Stukje proloog uit het nieuwe boek Huib Modderkolk

2

› Het niet beschikbaar zijn van het internet leidt tot maatschappelijke problemen.

› Andere voorbeelden hiervan zijn:

– In financiële sector=> het niet kunnen afwikkeling van betalingsverkeer, bijv banken die door DDoS aanvallen overspoeld worden, zodat zij betalingen van burgers en bedrijven niet meer kunnen verwerken.

– In publieke sector => niet kunnen inloggen op overheidsdienstverlening doordat DigiD en/of eHerkenning overspoeld worden door DDoS aanvallen.

‘De kwetsbaarheid van internet is een maatschappelijk vraagstuk’

4

› Al geruime tijd zijn Distributed Denial of Service (DDoS) aanvallen tegen diensten van de overheid een fact of life. De huidige strategie van de overheid om met DDoS aanvallen om te gaan, is het laten verwijderen van DDoS verkeer door leveranciers met‘wasstraten’. Met de stijgende lijn in het volume van de DDOS aanvallen is dit praktisch en financieel steeds lastiger vol te houden. Bij extreem grote aanvallen is het zelfs denkbaar dat de internetverbinding van een overheidsvoorziening verstopt raakt. In dat geval is de voorziening onbereikbaar voor burgers en bedrijven.

› Daarnaast is het door bundeling van diensten en onderlinge afhankelijkheden van diensten niet meer voldoende dat “ieder voor zich” in voldoende bescherming voorziet, aangezien het uitvallen van één dienst grote invloed kan hebben op verschillende andere diensten.

Context kwaliteitspeering

5

Principe van kwaliteitspeering

6

Kwetsbaarheid intern overheidsverkeer via Internet

Burgers

Internet

Internet(mobiel, bekabeld)

Applicaties en Informatievan de overheid in

overheidsdatacenters

Bedrijven


Applicaties en Informatievan de overheid

extern gehost (cloud)

Internet

Applicaties en Informatievan de overheid in datacenters

DiginetwerkBurgers


Bedrijven




=>Introductie Diginetwerk

Internet

Applicaties en Informatievan de overheid in datacenters

DiginetwerkBurgers


Bedrijven




Kwetsbaarheid diensten aan burgers en bedrijven

Diginetwerk

Nederland

Rest van de wereld





Nederlandse burgers en bedrijven in het

buitenland

Burgers en bedrijven in Nederland

Onze klanten zitten grotendeels in NL ...

...en DDOS bronnen buiten Nederland.

Diginetwerk






buitenland


DDOS aanval

Nederland

Rest van de wereld

DDOS aanval

DDOS aanval

Diginetwerk

KPN

Vodafone/Ziggo

Tele2

Nederland

Rest van de wereld






buitenland


Kwaliteitspeering

Vrije “busbaan” voor de klanten van de ISP’s in Nederland...

... reduceert impact DDOS enorm.

=> Introductie Kwaliteitspeering

› Volume-based aanvallen, waarbij de aanvaller zoveel bandbreedte creëert dat netwerk verbindingen en systemen overbelast raken;

› Protocol aanvallen, die er voor zorgen dat firewalls, load balancers en webserver niet goed meer functioneren;

› Applicatie aanvallen, die kwetsbaarheden benutten in applicaties en diensten om deze uit te schakelen.

Drie soorten DDoS-aanvallen:

14

› Blackholing

› DDOS wasstraten

› Content Delivery Networks (CDN)

› Kwaliteitspeering

→ Grofstoffelijk

→ Kostbaar

→ Statische Content, & sleutel issues

→ Lokale oplossing

Mogelijke Anti-DDOS maatregelen

15

16

Burgers&bedrijven (klant KPN)

Diensten Platform Logius

KwaliteitsPeeringPlatform

KPN

NLIX

Tele2Vodafone/

Ziggo

Diensten Belastingdienst

digid.nl

Equinix KPN Tele2

belastingdienst.nl

PeeringdomeinTransitdomein Transitdomein

Rest of Internet

Burgers&bedrijven (klant Tele2) Burgers&bedrijven (klant V/Z)

Prefixes Logius

Prefixes BD

Prefixes Logius+BD no export

Prefixes BD

Prefixes Logius Prefixes BD

Prefixes Logius

Prefixes klant KPN Prefixes klant Tele2Prefixes klant

Vodafone/Ziggo

Prefixes Logius, KPN,Tele2,

Vodafone/Ziggo

Prefixes BD, KPN,Tele2,

Vodafone/Ziggo

› Proof of Concept succesvol

– Met KPN, Tele2, Vodafone/Ziggo

› Meedoen aan grote DDOS test 19 oktober

– Logius platform en platform Belastingdienst

– Uitwerken testscenario’s

– Jair Santanna Universiteit Twente betrokken

› Ook andere benefits komen in beeld

› In productie voor één Logius service (Q4)

Status

17

› Basisprincipe is afnemers hebben eenvoudig toegang tot de dienst (BP03)

› Afgeleide principe (AP09) dat internet het voorkeurskanaal is voor burgers en bedrijven met de overheid.

› Afbreukrisico van internet is dat continuiteitsafspraken end- to-end niet mogelijk zijn. Dit laatste is in strijd met basisprincipe betrouwbaar (BP09) en de afgeleide principe is beschikbaarheid (AP 41).

› De continuïteitsafspraken zijn gemaakt op basis van de afbreukrisico's die afnemers lopen bij uitval. Afnemers verwachten 24 uur per dag, 7 dagen per week zaken te kunnen afhandelen, de continuïteit en beschikbaarheid van de dienstverlening is belangrijk (AP41).

› De uitdaging is de continuïteit van het gebruik van het internet te verbeteren.

Waarom NORA?

18

› Draagvlak creëren

› Voor het verhogen van de continuïteit Digitale Overheid

– Diginetwerk

– Kwaliteitspeering ‘busbanen’ op internet

Waarom staan wij hier?

19

› Interessante ontwikkeling?

› Relevante ontwikkeling?

› Hoe te verankeren in NORA?– Bijv. afgeleid principe dat het voorkeurskanaal Diginetwerk is voor onderling

verkeer van de overheid.

– Bijv. aanvullingen op AP41 beschikbaarheid: Beschikbaarheid van Internetverkeer tussen burgers en bedrijven en digitale overheidsdiensten wordt geborgd middels kwaliteitspeering.

› Zelf toepassen van kwaliteitspeering methode?

› Deelname aan een gebruikersoverleg?– Verstevigen van positie richting Internet Service Providers door het interessant

voor ze te maken.

Wat wordt er van NORA gevraagd?

20

Er zijn nog steeds velen die dit niet weten.

Wij wel!

Wat hebben wij gedaan aan maatregelen?

De oorlog is nog steeds gaande

21

Peter SmidProductowner Team ConnectLogius

T 06 25 45 23 96 [email protected]

Peter KortNetwerkarchitectLogius

T 06 15 04 83 24 [email protected]

mailto:[email protected]:[email protected]

Backup

23

24

Burgers&bedrijven in NL

Diensten Platform Logius

KwaliteitsPeeringPlatform

KPN Tele2Vodafone/Ziggo AS????

Diensten Belastingdienst

digid.nl

Equinix KPN Tele2

belastingdienst.nl


Nog niet aktief

Burgers&bedrijven (overig ) Burgers&bedrijven (overig )

Te realiseren verbinding tussen Kwaliteitspeeringplatform en platform

Belastingdienst (Voorstel: E-line van Defensie tussen

Equinix AM3 en ODC Apeldoorn)

Alternatief: Peeringverbinding met KPN en/of Tele2

Rest of Internet

25

Burgers&bedrijven in NL

Diensten Platform LogiusAS62003

KwaliteitsPeeringPlatformAS210207

KPN

NLIX

Tele2Vodafone/

Ziggo

Diensten BelastingdienstAS24595

digid.nl

Equinix KPN

AS286Tele2

AS13127

belastingdienst.nl


Nog niet aktief

NIKHEFAS????

Aanvaller

Rest of Internet

Burgers&bedrijven (overig ) Burgers&bedrijven (overig )

Aanval op transitAanval op transit

Geen impact op verkeer tussen digid & belastingdienst

Geen impact voor klanten van KPN, Tele2 en VodafoneZiggo naar digid & belastingdienst

Tele2 AS1257

Ontwikkelingen Nederlands (inter)netwerkverkeer...Peter Smid, Peter Kort September 2019 Stukje...

Documents

Transcript of Ontwikkelingen Nederlands (inter)netwerkverkeer...Peter Smid, Peter Kort September 2019 Stukje...