Datacenters effectief beschermen tegen DDoS-aanvallen

Door succesvolle aanvallen op een aantal banken en de DigiD site is de term DDoS vorig jaar zelfs bekend geworden onder het grote publiek. Uit het Cyber Security Perspectives 2013 rapport van onder andere het Nationaal Cyber Security Centrum blijkt dat de uitgevoerde aanvallen zowel complexer als zwaarder worden. Die trend vraagt om een andere beveiligingsstrategie en nieuwe generatie oplossingen, zoals de Thunder TPS appliances van A10 Networks. Vorig jaar heeft onder andere Microsoft’s Digital Crimes Unit een beroep gedaan op de apparatuur van deze application networking specialist.

Wat te doen bij een DDoS-aanval

DDoS is de afkorting voor Distributed Denial of Service, een al decennialang gebruikte methode om websites en -services plat te leggen. Simpelweg door vanaf een enorm aantal computers een web- of applicatieserver te overbelasten met netwerkverkeer. Te vergelijken met snelwegen die op piekmomenten overbelast raken door teveel auto’s en vrachtwagens, waardoor er files ontstaan en ongelukken gebeuren. Bij een DDoS-aanval wordt die overbelasting echter bewust veroorzaakt door iemand of een organisatie die er belang bij heeft om de betreffende server of applicatie plat te leggen. Hoewel deze methode al tientallen jaren bestaat worden de aanvallen steeds geavanceerder, zwaarder en makkelijker in gang te zetten. Behalve computers kunnen er tegenwoordig namelijk ook slecht beveiligde Internet-modems die iedereen thuis gebruikt, smartphones, of IP-camera’s en andere IP-apparaten voor worden gebruikt. Behalve dat een bedrijf online omzet misloopt als de website of -shop niet toegankelijk is, kunnen die aanvallen ook kritische publieke services verstoren. In reactie op het toenemend aantal zware DDoS-aanvallen, heeft de wereldwijde Internet naambeheerder ICANN vorig jaar een rapport uitgebracht met adviezen over wat te doen als uw organisatie wordt getroffen door zo’n aanval. Eindgebruikers moeten zo snel mogelijk contact opnemen met hun hosting provider, die vervolgens weer de hogere ISP informeert om samen de benodigde verdedigingsmaatregelen in gang te zetten. Verder zijn er de afgelopen tijd nieuwe generatie DDoS-beschermingsoplossingen op de markt gekomen die speciaal zijn ontworpen om enorme hoeveelheden netwerkverkeer te verwerken en verdacht verkeer gericht te blokkeren terwijl de services in de lucht blijven.

Beveiliging verleggen naar applicatielaag

Uit het Cyber Security Perspectives 2013 rapport van het Nationaal Cyber Security Centrum, de Politie, TNO en KPN blijkt dat er 39 zware DDoS-aanvallen zijn geregistreerd tussen januari en september 2013. Daaruit blijkt tevens dat oude type aanvallen tegenwoordig geen grote impact meer hebben en dat cybercriminelen zich daarom steeds meer op de applicatielaag richten met grof geschut. Als voorbeeld wordt een zware multi-vector aanval van maar liefst 100 Gbps genoemd. Die zijn alleen maar tegen te houden met nieuwe generatie oplossingen. Volledig voorkomen dat je als bedrijf of provider wordt aangevallen is onmogelijk, maar de negatieve gevolgen tot een minimum beperken wel. Het Internet is nu eenmaal een voor iedereen toegankelijke infrastructuur waarop steeds meer apparaten worden aangesloten (Internet of Things), die door kwaadwilligen te misbruiken zijn voor hun aanval. Zij maken daar bots of zombie’s van, die in grote aantallen hun aanvalsleger vormen. Door het snelgroeiend gebruik van cloudservices, vanaf steeds meer mobiele apparaten, is het belangrijk dat een deel van de IT-beveiliging wordt verlegd naar de applicatielaag. De op deze laag al gebruikte application delivery controllers zijn namelijk speciaal ontworpen om zowel een enorm volume aan verkeer te verwerken, als verdachte bronnen te blokkeren om de applicatieprestaties te optimaliseren. Op een blog van Microsoft’s Digital Crime Unit is te lezen dat zij in samenwerking met Europol, de FBI en A10 Networks vorig jaar met succes de ZeroAccess botnet hebben aangepakt. Met ruim twee miljoen geïnfecteerde computers was dit tot nu toe één van de meest ingrijpende serviceverstoorders, die onder andere online adverteerders miljoenen per maand heeft gekost.

Nieuwe generatie beveiligingsoplossingen

Effectieve DDoS-oplossingen moeten snel kunnen meeschalen met de aanvalsgroei, om de beoogde serviceverstoring te voorkomen. A10 Networks heeft daarom medio januari een nieuwe serie oplossingen geïntroduceerd, speciaal ontworpen en geconfigureerd voor de datacenters van serviceproviders en grote bedrijven. Deze A10 Thunder TPS appliances zijn gebaseerd op het 64-bit Advanced Core Operating System (ACOS) met een ‘Symmetric Scalable Multi-Core Processing softwarearchitectuur. Ze bieden bescherming op meerdere lagen van het OSI-model, met een capaciteit van 38 tot 155 Gbps per appliance, of tot 1,2 Tbps in een geclusterde configuratie. Ze zijn tevens uitgerust met hoge snelheid FGPA-hardwaregebaseerde ‘Flexible Traffic Acceleration (FTA) technologie voor het detecteren en tegenhouden van 30 veelgebruikte aanvalsvectoren, zonder dat de applicatieservers daar noemenswaardige hinder van ondervinden. De A10 Thunder TPS Serie heeft een open ontwerp en bevat tevens een aXAPI open RESTful API, om ze te kunnen integreren in bestaande netwerkarchitecturen en beveiligingsoplossingen van derden. A10 Networks is erin geslaagd om een combinatie van hoge prestaties en geavanceerde beveiligings-functies te integreren in een compacte behuizing. In vergelijking met andere oplossingen resulteert dat in lagere kosten (OPEX) en zowel minder ruimte- als stroomgebruik. Uit de berichtgeving van A10 Networks blijkt dat Xantaro Group tot de eerste groep Thunder TPS gebruikers behoort en ook implementatiepartner Quanza er al positieve ervaringen mee heeft opgedaan. Op blogs.technet.com is meer te lezen over de samenwerking met Microsoft’s Digital Crime Unit.

Peter van Berkel is journalist