Inloggen
home > anti-ddos voor afhankelijke netwerken

Anti-DDoS voor afhankelijke netwerken

 

De VvR en Nawas hebben van het SIDN fonds een financiële bijdrage ontvangen voor het project ‘Anti-DDoS voor kleine netwerken’. In eerste instantie onderzoeken we óf en op welke wijze het (kostenefficiënt) mogelijk is om hosters zónder onafhankelijk netwerk tóch op NaWas aan te sluiten. Lees hier wat het project precies inhoudt en wat de actuele status is. (update op 21 juni 2019)

 

Direct naar:

Wat houdt het project in?

Voor wie is het project van belang?

Wat levert het project op?

Hoe wordt het project gerealiseerd?

Hoe is de kennisdeling georganiseerd?

Uitkomsten project Anti-DDos voor afhankelijke netwerken

 

 

 

 

Wat houdt het project in?

 

 

De Nationale anti-DDoS Wasstraat (NaWas) biedt on demand beveiliging tegen DDoS-aanvallen. Hierdoor wordt de continuïteit van het netwerkverkeer en de stabiliteit van het internet gewaarborgd. Dit leidt tot een veiliger internet en een groter vertrouwen bij de internetgebruiker. Voor kleinere hostingpartijen (webhosters) die niet over een onafhankelijk netwerk beschikken, is het helaas niet mogelijk om op de NaWas aan te sluiten.

 

Met het project ‘Anti-DDoS voor kleine netwerken’ wil de Vereniging van Registrars en de Nationale Beheersorganisatie Internet Providers (NBIP) onderzoeken op welke wijze dit (kostenefficiënt) toch mogelijk is. Hierbij willen we een Proof of Concept uitvoeren, waarin VvR leden mede de functionaliteit kunnen bepalen.

 

Voor wie is het project van belang?

 

Het project is van belang voor alle internetdienstverleners die geen eigen onafhankelijk netwerk hebben maar zich wel willen beschermen tegen DDoS-aanvallen. Voor deze partijen is het momenteel onmogelijk om zich op de NaWas aan te sluiten. Het zelf kopen en onderhouden van anti-DDoS apparatuur is vaak onhaalbaar of niet rendabel voor deze doelgroep. De VvR vertegenwoordigt een aantal van deze internetdienstverleners in haar achterban.

 

Daarnaast is het project van belang voor de internetgebruiker omdat de continuïteit van het netwerkverkeer en de stabiliteit van het internet wordt gewaarborgd.

 

Wat levert het project op?

 

Het project geeft inzicht in de mogelijkheden voor het aansluiten van internetdienstverleners zonder eigen onafhankelijk netwerk op NaWas. Tevens levert het een Proof of Concept op. Organisaties worden nu min of meer verplicht om te kiezen voor een netwerkleverancier die of bij NaWas aangesloten is dan wel zelf over anti-DDoS apparatuur beschikt. Of ze stellen zich bloot aan deze vorm van internetmisbruik die de continuïteit en stabiliteit van het internet in gevaar brengt.

 

Hoe wordt het project gerealiseerd?

 

Het project bestaat uit twee delen: het onderzoek en de Proof of Concept. In eerste instantie zal onderzoek worden verricht naar de mogelijkheden om internetdienstverleners die geen eigen onafhankelijk netwerk hebben überhaupt en kostenefficiënt aan te sluiten op NaWas. Daarna zal een Proof of Concept moeten aantonen dat de geboden oplossing(en) ook daadwerkelijk mogelijk en betaalbaar zijn.

 

Voor de Proof of Concept willen we samenwerken met netwerkbeheerders waar NaWas mee samenwerkt en/of personen uit de achterban van de Vereniging van Registrars en een partij zoals bijvoorbeeld TU Twente.

 

Hoe is de kennisdeling georganiseerd?

 

Het onderzoek levert inzicht op in de mogelijkheden voor het aansluiten van internetdienstverleners die geen onafhankelijk netwerk hebben op NaWas. De uitkomsten van het onderzoek worden gepubliceerd en gratis beschikbaar gesteld via een website.

 

Middels presentaties op evenementen en bijeenkomsten voor de doelgroep zullen de resultaten van het onderzoek en de Proof of Concept onder de aandacht worden gebracht.

 

Daarnaast zullen de resultaten van het onderzoek en de eventuele bronmaterialen van de Proof of Concept vrij beschikbaar worden gesteld aan de internetgemeenschap (open source).

 

Uitkomst project Anti-DDos voor afhankelijke netwerken

In maart 2019 is het project Anti-DDoS voor afhankelijke netwerken afgerond en heeft inmiddels ook de eindevaluatie met het SIDN fonds plaatsgevonden.

 

Wat zijn de resultaten?
Uit het onderzoek in fase 1 (klik hier voor het rapport) volgde twee technische mogelijkheden om zonder AS toch gebruik te kunnen maken van de diensten van de NaWas. Deze technische mogelijkheden waren de volgende twee:
  1. Eigen BGP en GRE tunnel: het is mogelijk dat een service provider zelf BGP (Border Gateway Protocol) adverteert bij een aanval en via een zogenaamde GRE tunnel (Generic Routing Encapsulation) het schone verkeer ontvangt;
  2. Reverse proxy services: Het is mogelijk om de NaWas “er tussen te zetten” door het IP aan te passen van een server in het DNS (Domain Name System). De IP wordt dan gezet op een proxy server binnen de NaWas die het (schone) verkeer weer doorzet naar de eigenlijke server (IP).
Aan beide mogelijkheden waren onderzoeksvragen gekoppeld die in fase 2 van het project verder zijn onderzocht in de zogenaamde Proof of Concepts (Poc). Ook is aanvullend onderzoek verricht. 
 
De resultaten uit de Proof of Concepts:

1. Eigen BGP en GRE tunnel (klik hier voor het rapport):

  • In lijn met bestaande NaWas opzet (BGP en On Demand), direct inzetbaar
  • Volledig transparant voor alle services
  • Investering voor SP (eigen BGP router, GRE private tunnel, maatwerk) 
  • Medewerking ISP noodzakelijk
  • Indicatie kosten 1000/2000,- Euro per maand (eventueel delen met anderen) voor private GRE verbinding en 350,- Euro per maand deelnemerskosten NaWas

2. Reverse proxy services (klik hier voor het rapport): 

  • “Always on” is nieuw voor NaWas
  • Per service proxy nodig (http/https, mail en file transfer) 
  • Investering NBIP nodig in proxy platform (160 K eerste 3 jaar)
  • Zonder medewerking van ISP op te zetten 
  • Indicatie kosten 100,- Euro per maand deelnemerskosten NaWas
 
De mogelijkheid van een eigen BGP en GRE tunnel kan actief worden toegepast en door NaWas worden uitgerold omdat deze in lijn is met de bestaande Nawas dienst. De mogelijkheid van reverse proxy is enkel mogelijk met een (grote) investering bij NaWas. 
 
Wat is het vervolg? 
Nu we de resultaten kennen van het project is de vraag of er een actuele behoefte is aan deze oplossingen? En zo ja, tegen welke prijs? Of deze oplossingen als een bedreiging of juist een goede aanvulling in het kader van een veilig internet worden gezien? 
 
De VvR is geïnteresseerd in de mening van de registrars over de uitkomsten van dit project. Deze nemen we graag mee in de evaluatie met onzez projectpartner NaWas.
Daarom is er op 21 juni een enquete gehouden onder de registrars. 

 

 


Lees hier de actuele status van het project!