Werkconferentie IBPWhat the Hack?!Weer de klos met DDoS18 maanden zorg en ergernis,samenwerken is dan wel zo prettig.

Antoon FensCoördinator ICTSCZ Picasso Lyceumafens@scz.nl

12 oktober 2016

Scholen Combinatie Zoetermeer(SCZ)

• Picasso Lyceum (gymnasium, atheneum, havo en TOPmavo. 1100)

• Stedelijk College (vmbo breed. 1000)

• SCZ + Het Atrium (praktijkonderwijs 250) = SSVOZStichting Stedelijk Voortgezet Onderwijs.

12 oktober 2016

Eerste kennismaking: Passieve hinder

• Sep 2013 Betaalsysteem Pay Workz IT Workz ROC WB

• Nov 2013 Informatica site (“op zoek…”)

• Mrt 2014 Magister SchoolMaster (“op zoek…”)

• Jan 2015 Kennisnet Entrée

• Apr 2015 SLB Diensten: Beveiligingsdag– Uitgesteld tot juni 2015

12 oktober 2016

Actieve hinder + zelf in actie komen

• Juni 2015 Stedelijk College: Hickups? Nee, DDoS aanvallen:Reactie:

“Maar momenteel is er geen oplossing voor aan te dragen. Enkele opties die nog over zijn:- Nieuwe IP-nummers, maar dit gaat goed zolang het goed gaat. Is geen structurele oplossing- Bandbreedte ophogen, echter ook geen enkele garantie, voor de 200 Mb als 1 G zal het hetzelfde blijven.Helaas dus geen zicht op een echte oplossing die voorhanden is.”• Juni 2015 Zomerbijeenkomst SchoolMaster: Akamai (duur)• Juni 2015 Junior IT’ers• Juni 2015 SLB Diensten Beveiligingsdag: Monitoren

12 oktober 2016

2015 - 2016

• Sep 2015 Noordhoff

“Noordhoff Uitgevers heeft de afgelopen weken last gehad van performance problemen op het gebied van toegang tot het digitale lesmateriaal. Een belangrijke oorzaak is dat wij, en ook collega’s in de directe toegangsketen, last hebben gehad van DDoS- aanvallen en serverproblemen. Uiteraard treffen wij voorzorgsmaatregelen om dit zoveel mogelijk te voorkomen. Onze IT-afdeling werkt, in nauw contact met de betreffende softwareleverancier, dagelijks aan het finetunen van onze systemen om de impact van toekomstige DDoS-aanvallen te minimaliseren. Ook hebben wij, om ruimte te geven aan de sterke groei van het gebruik van ons digitaal lesmateriaal, onze servercapaciteit verder verhoogd.”

12 oktober 2016

2015 - 2016

• Okt/nov 2015 Hickups zijn DDoS aanvallen

“De school heeft zowel intern als extern software geinstalleerd om te achterhalen wat er precies gebeurt. Voor de herfstvakantie hebben we al achterhaald via welk IP-adres een sterke datastroom kwam (daardoor loopt de verbinding dicht). Dit adres is inmiddels door de provider geblokt (gaat niet heel makkelijk, dan speelt privacy ineens een grote rol).”

• Contact met SLB: Kenniskring

12 oktober 2016

Januari 2016 (1): Handen in het haar

• DDoS aanvallen worden heviger.

• Contact met provider:

“Na een redelijk uitgebreid gesprek over de enorme noodzaak enz kwam de opmerking 'tegen ddos kunnen we niet veel doen'. Ik heb benadrukt dat het voor ons cruciaal is enzen dat wat voor de ING kan worden geregeld dan ook voor ons moet worden geregeld. Ik word teruggebeld, ik hou jullie verder op de hoogte. Mijn conclusie is wel dat we steeds kwetsbaarder worden qua digitalisering en dat er nog weinig ondersteuning vanuit de markt is. Oh ja, de site van KPN geeft aan wel een oplossing te hebben, alleen bleek de accountmanager bij die afdeling niet meer te werken dus ze wisten het ook niet direct. Nederland kennisland in 2016.... “

12 oktober 2016

Januari 2016 (2): Handen in het haar• Zelf monitoren (Wireshark: NTP amplification, 4G-20G per sec):

12 oktober 2016

Jan 2016 (3) Aan de bel trekken

• Contact met leverancier notebooks (andere scholen?)

• Contact met Scholengroep NH (ervaring delen?)

• Contact met Kennisnet (digitaal onderwijs? Vergeet het maar)

• Contact met VO raad ((hoger) op de agenda zetten)

• Contact met SLB diensten (Kenniskring, licentie?)

• Digidac Themamiddag veiligheid (ook bij jullie een probleem?)

• Communicatie collega’s en ouders: Weer de klos met DDoS!

• Contact met ICT firma Zoetermeer Goodzo

12 oktober 2016

Feb 2016: Onderzoek naar oorzaken

• Contact met wijkagent: Aangifte doen? Lijdt de school schade? Lastig op te lossen (strafrechtelijke vervolging)

• Contact met provider: Concreet hebben zij aangegeven dat zij alleen de internetdienst leveren. In de praktijk betekent dit dat zij monitoren, constateren dat er een aanval is, de lijn afsluiten en als het verkeer is gedaald de lijn weer open zetten. Er is sprake van beveiliging voor dergelijke aanvallen in het netwerk, echter is er niks concreets wat er op korte termijn gerealiseerd gaat worden. Het komt er dus op neer dat dit probleem in het klantdomein aangepakt/opgelost moet worden.

• Conclusie: als vo-school sta je er momenteel alleen voor.

12 oktober 2016

Feb 2016: Onderzoek externe firma (1)

• Vooraf: Dit is er aan de hand en de nationale wasstraat kan door jullie niet rechtstreeks gebruikt worden.”

• Volgens provider:

12 oktober 2016

Feb 2016: Onderzoek externe firma (2)

• In werkelijkheid

12 oktober 2016

Feb 2016: Onderzoek externe firma (3):

12 oktober 2016

Feb 2016: Dit is een mogelijke oplossing (4)

12 oktober 2016

Hoe gaan we dit doen? Gekozen oplossing:

• Mrt: Offerte Signet Eindhoven• Mrt: Bezoek Scholengroep Dunamare• Mrt: Bezoek ROC Veghel

• Apr: Contract en SLA Signet (data en Ddos mitigatie)• Apr: Contract en SLA Glasnet (glasvezelnetwerk)

• Mei: Contact oude provider

• Juni: Voorstel oude provider

• Okt: Fortigate Firewall Brite

• Herfstvakantie 2016: Andere provider, Van 100 naar 200 Mb, DDoS Mitigatie: Klaar?

• Vanaf morgen: Gezamelijk optrekken en als het kan een landelijke oplossing.

12 oktober 2016

Oh ja, in de tussentijd ook nog:

• Notebookprojecten• Volledig digitale methoden voor de talen: Malmberg, Noordhoff• Introductie tokens voor Magister• Inlogissues bij Van Dijk dan wel Noordhoff• Meldplichtdatalekken• Encryptie• IBP plan• Privacyprotocol• Netwerk-/securityscans/pentest• Samenwerking met Academie ICT: opleiding ISM• Wachtwoordbeleid/intrusionactie• Andere issues (bv Droid sheep door leerlingen)• Communicatie met leerlingen, ouders, collegae,

RvT enz. enz.

12 oktober 2016