Eenvoudige en SUCCESVOLLE oplossing tegen DDoS-aanvallen. Getest en het werkt!

1 november 2019

Jair Santanna
Jair Santanna

Geschreven door Jair Santanna, de eerste onderzoeker die DDoS-aanvallen aan de Universiteit Twente onderzoekt, universitair docent, lid van Cyber Security Next Generation, en maker van technische oplossingen in het DDoS Clearing House, het hoofdelement van de Dutch Coalition Anti-DDoS Attacks.

Disclaimer. Deze oplossing is niet nieuw, is eenvoudig te implementeren en werkt uitermate goed bij onlinediensten of infrastructuur waarbij de gebruikers gecentraliseerd kunnen worden (bijv. onlinediensten bedoeld voor burgers van een land).

De analogie van het ‘verborgen afgezonderde raam’. Stel, je hebt een huis met één grote deur, diverse bewakers en één verborgen raam. En stel dan dat een heleboel mensen op een gegeven moment met opzet je deur blokkeert. Hierdoor kunnen je vrienden niet meer binnenkomen in je huis. Dat is precies wat een distributed-denial-of-service (DDoS)-aanval is. In deze analogie is ‘het huis’ je onlinedienst die wordt aangevallen, zijn ‘een heleboel mensen’ de besmette of misbruikte machines die door een hacker worden bestuurd, en zijn ‘je vrienden’ de legitieme gebruikers die toegang willen krijgen tot je onlinedienst. In deze situatie is er een heel eenvoudige oplossing (in plaats van extra bewakers inhuren): je vrienden binnenlaten via het verborgen raam. Heel simpel, toch? Nou, dit kan alleen als je (op een of andere manier) het raam kunt afzonderen, zodat het alleen toegankelijk is voor je vrienden. Technisch gezien kan dat en is het eenvoudig uit te voeren. Logius heeft deze oplossing ingezet tegen DDoS-aanvallen op 18 oktober 2019.

Logius. Logius is de dienst digitale overheid, een onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Ze zijn het bekendst vanwege hun dienst DigID, een platform voor identiteitsbeheer dat door de Nederlandse overheid wordt gebruikt. Hiermee wordt de identiteit van inwoners van Nederland op internet geverifieerd. In 2018 creëerde Logius een proof-of-concept om zich te verdedigen tegen DDoS-aanvallen met behulp van het idee van het ‘verborgen afgezonderde raam’. Het merendeel van de DDoS-aanvallen is afkomstig van machines verspreid over de hele wereld, maar Logius zag dat verreweg de meeste gebruikers (>80 procent) van hun diensten bekende internetserviceproviders (ISP’s) gebruiken: KPN, Tele2+T-Mobile en Vodafone+Ziggo+LibertyGlobal. Vervolgens heeft Logius (met behulp van bovengenoemde ISP’s) het zogeheten KwaliteitsPeering Platform (KPP) opgericht.

Het KwaliteitsPeering Platform (KPP) van Logius. Het belangrijkste idee achter deze oplossing is het afzonderen van de toegang voor het merendeel van de gebruikers van Logius-diensten (inwoners van Nederland), zoals in de ‘verborgen-raam’-analogie. Verder laat Logius de algemene ‘openbare toegang’ open voor de rest van de wereld (voor het geval iemand in het buitenland de dienst wil gebruiken). Technisch gezien is dit gedaan met behulp van de BGP-community ‘no-export’, die in algemene zin garandeert dat alleen gebruikers binnen de bij het KPP aangesloten ISP’s toegang hebben tot de afgezonderde route naar de dienst (‘het afgezonderde verborgen raam’). Nog even in het kort: DDoS-aanvallen komen van over de hele wereld, wat betekent dat een aanval vooral ‘de deur’ treft en niet ‘het raam’. Een bewijs voor deze stelling is gebaseerd op onze analyse van bijna 900 DDoS-aanvallen die openbaar beschikbaar zijn op ddosdb.org (de grootste openbare database met DDoS-aanvallen). In deze analyse (in het allerslechtste geval) vertegenwoordigen aanvallen met besmette/misbruikte apparaten in Nederland (207 aanvallen) minder dan 1,2 procent van de aanvalskracht. Anders gezegd, in het slechtst denkbare scenario treft 98,8 procent van de aanval ’de deur’ en de overige 1,2 procent ‘het raam’.

Onpartijdige, openbare en succesvolle test. Hoewel het Logius KPP proof-of-concept in 2018 is geïmplementeerd en (op de een of andere manier) is getest, is het pas nu, in 2019, getest in het openbaar. Op de vroege ochtend van 19 oktober 2019 vond er een landelijke DDoS-oefening plaats met organisaties, zoals Logius. Alle betrokken organisaties kregen de kans om hun mogelijkheden tegen DDoS-aanvallen te testen (soms in samenwerking met DDoS-beschermingsbedrijven van derden). Voor Logius was dit de juiste gelegenheid om het KPP te testen. Vervolgens kreeg ik het verzoek om de beoordeling van het KPP te coördineren. De aanval trof ‘de deur’ hard, maar had geen invloed op ‘de vrienden’ die binnenkwamen langs ‘het raam’. Dus terwijl de Logius-diensten voor de rest van de wereld werden getroffen, merkten de gebruikers binnen de ISP’s die deel uitmaakten van het KPP niet dat de diensten trager werden. De metingen zijn openbaar beschikbaar via het RIPE Atlas-platform (https://atlas.ripe.net/measurements), dat werd gebruikt voor het meten van het KPP. Binnenkort (medio november) komt er een rapport beschikbaar waarin alle technische details worden toegelicht. Hebt u interesse?

Toekomstige koers en vergelijkbare initiatieven. Nu de tests een groot succes bleken, wil Logius van het KPP een permanente oplossing maken. Het betekent dat ‘het raam’ op een gegeven moment ‘verborgen en afgezonderd’ wordt, zodat daarlangs alleen ‘de vrienden’ naar binnen kunnen, terwijl ‘de deur’ wordt overgelaten aan ‘de rest van het internet’. Het belangrijkste verschil tussen de Logius KPP en andere oplossingen die er veel op lijken (bijv. het Trusted Networks Initiative en de Dutch Continuity Board) is dat het KPP bedoeld is als permanente oplossing en niet als tijdelijke noodoplossing. Merk op dat dit alleen mogelijk is gezien het type gebruikers dat toegang heeft tot Logius-diensten (voornamelijk inwoners van Nederland). Een belangrijke opmerking: het KPP betekent niet dat er geen extra beveiliging nodig is (eventueel van derden, bijvoorbeeld NaWas – de Nationale Wasstraat tegen DDos-aanvallen – ). In onze analyse zagen we dat er bij één DDoS-aanval alsnog 1,2 procent afkomstig was uit Nederland. Dit betekent dat er extra beveiliging (‘een extra bewaker’) nodig is tegen een aanval op maat die voor 100 procent afkomstig is van besmette machines bij ISP’s in het KPP, iets wat op een gegeven moment kan gebeuren (hoewel onwaarschijnlijk).

Oproep tot actie. Tot slot wil ik erop wijzen dat DDoS-aanvallen een van de oudste onlinebedreigingen vormen. Ze verschenen direct na de oprichting van het internet, en nemen nog altijd toe in frequentie en omvang. De schade aan onze Nederlandse samenleving bedraagt al miljoenen euro's per jaar. Daarom wil ik een oproep doen tot discussie en actie: waarom overwegen andere nationale – vooral onmisbare – diensten niet om een soortgelijke oplossing als die van Logius Quality Peering KPP (permanent) in te zetten? Met deze eenvoudige en effectieve oplossing zouden diensten beter bestand zijn tegen DDoS-aanvallen, en de hele samenleving zou daar baat bij hebben. Bent u het met me eens?