Voor veel organisaties, zoals onderwijs- en onderzoeksinstellingen, is een hoogwaardige internetaansluiting onmisbaar. De aansluiting moet natuurlijk betrouwbaar en snel zijn, maar veiligheid speelt ook een grote rol. Hoe zorg je er als internet service provider (isp) voor dat je ip-dienstverlening optimaal beveiligd is tegen misbruik?
Er zijn een aantal technieken die ervoor zorgen dat netwerkverkeer zo goed mogelijk beschermd is tegen misbruik. Deze technieken zijn toepasbaar op twee niveaus: op pakketniveau (de dataplane) en op routeringsniveau (de controlplane). Daarnaast is het belangrijk om een goed ingericht incident response team te hebben.
Antispoofing
Het is belangrijk om te weten of ip-verkeer dat een netwerk binnenkomt of verlaat, wel legitiem is. Steeds vaker vallen cybercriminelen anoniem servers aan. Ze gebruiken hiervoor spoofing: het verzenden van ip-verkeer met een oneigenlijk afzenderadres.
Door een server een verzoek te sturen met een afzender-ip-adres van de aan te vallen server, zal de server die antwoordt, reageren op het verzoek en data gaan versturen naar het afzenderadres dat in het verzoek is opgenomen. Door dit vanaf veel verschillende hosts te doen, en daarbij een afzenderadres te spoofen zal de verbinding met de daadwerkelijke node die bij dat ip-adres hoort vol lopen en is die niet goed meer bereikbaar voor legitiem verkeer. Aanval geslaagd!
Om dergelijke aanvallen en het spoofen van afzenderadressen tegen te gaan kan een ISP standaard antispoofingfilters plaatsen in het netwerk. Die filters checken of de gebruikte afzenderadressen van pakketjes uit netwerk A (bijvoorbeeld een onderwijsinstelling) ook daadwerkelijk wel in netwerk A gebruikt worden. Is dat niet het geval, dan worden de pakketjes gefilterd en niet doorgestuurd. Op deze manier kan de isp voorkomen dat bijvoorbeeld instellingsnetwerken gebruikt worden als verzender van kwaadaardig verkeer.
Verder is het natuurlijk verstandig om specifieke filters te plaatsen, die verkeer vanaf bepaalde gedefinieerde ip-adresranges tegenhouden, zoals private reeksen (RFC 1918 adressen).
Nationale anti-DDoS Wasstraat (NaWas)
Grote isp’s hebben hun eigen apparatuur om DDoS-aanvallen te pareren. Voor kleinere en middelgrote isp’s is er de Nationale anti-DDoS Wasstraat (NaWas): een on-demand beveiligingsservice. NaWas bestaat uit centraal opgestelde apparatuur die verkeer filtert van isp’s die doelwit zijn van een DDoS-aanval: het kwaadaardige verkeer wordt weggeleid en de servers blijven bereikbaar voor het overige verkeer. De NaWas kan direct in actie komen en daardoor de schade zoveel mogelijk beperken.
Routers in het internet vertellen elkaar welke netwerkadresblokken (prefixen) via hen bereikt kunnen worden (dat vertellen heet adverteren). De eerste router die dat doet staat in het origin netwerk. Met routevalidatie kan een isp controleren of de origin netwerkadresblokken die een router adverteert, ook daadwerkelijk in het betreffende origin netwerk thuishoren. Is dit niet zo, dan kan de isp ervoor kiezen deze adresblokken niet op te nemen in de routeringstabel. Deze manier van routevalidatie voorkomt dat verkeer naar een gehijackt adresblok wordt gestuurd.
Incident response team
Een incident response team is een belangrijke schakel in de beveiliging van je netwerk. Zo’n team komt in actie bij beveiligingsincidenten en heeft vaak verschillende tools om het netwerkverkeer te monitoren. Daarnaast onderhouden de specialisten van incident response teams contacten met beheerders van andere internationale netwerken en internetexchanges. Zo kennen ze bijvoorbeeld hun veiligheidspolicies en weten ze dus ook bij wie ze wel of juist niet moeten zijn voor internationale verbindingen.
