Door IP slim te gebruiken, kunnen corporates de impact van DDoS aanvallen beperken

Een van de meest zichtbare cybersecurityproblemen zijn DDoS aanvallen. Vaak lijkt het of deze alleen met het inzetten van speciale DDoS diensten en hardware afgeslagen kunnen worden. Met het inzetten van relatief eenvoudige IP gerelateerde maatregelen kunnen DDoS en andere cybersecurity aanvallen relatief eenvoudig beperkt worden. Door deze toe te voegen neemt de efficiency van DDoS scrubbing en andere veiligheidsmaatregelen toe.

De hoeveelheid IP maatregelen om de veiligheid te vergroten is bijzonder groot; zie Measures to increase the routing security on the Internet en de eerdere samenvatting: Met IP / Routing kan de cybersecurity vergroot worden. Hierbij blijft de vraag onbeantwoord hoe corporates de beveiliging met IP praktisch kunnen vergroten. Daarom deze verkenning, waarbij verschillende IP-maatregelen gecombineerd worden.

Corporate omgevingen zijn complex

Vaak wordt onderschat hoe complex een corporate on-line omgeving is. Hierdoor is het effectief anticiperen op cybersecurity dreigingen als DDoS aanvallen lastig. Zo zijn er de technische componenten als netwerk elementen (routers en switches, sommige met SDN functies), server farms (evt in hybride cloud), IDS (Intrusion Detection Services / servers), DNS’en, DDoS scrubbing functies, Level 4 switches, web accelerators, CDN’s, beheersystemen en firewall functies. Deze worden vaak ook nog voor meerdere on-line toepassingen en websites gebruikt.

In de regel is het beheer van de verschillende onderdelen bij verschillende partijen uitbesteed, waarbij er geen integrale securityfilosofie gehanteerd is. Zo kan het voorkomen dat de netwerk elementen bij de ene partij uitbesteed zijn, de security componenten (IDS, DDoS srubbing) bij een andere, de servers gedeeltelijk in een eigen datacenter staan en gedeeltelijk ergens anders in de cloud. Daarbij komt nog dat de samenwerking tussen systeem- en netwerk engineers niet altijd soepel verloopt. Ze begrijpen elkaar niet goed en proberen zo min mogelijk met elkaar te maken te hebben, terwijl de aanpak van security integraliteit vereist.

Door het combineren van IP-middelen de veiligheid vergroten

Het eerste principe is het toepassen van split destination. Hierbij wordt de serverfarm in twee stukken verdeeld met verschillende IP adressen. Beide krijgen een onafhankelijk IP pad naar de rand van het corporate netwerk; de plaats waar het Internet begint. Deze noemen we een trusted en untrusted netwerk. De untrusted omgeving behoudt de huidige connectiviteit en infrastructuur. Voor het trusted netwerk wordt een IP koppeling gemaakt met netwerken waarmee goede afspraken te maken zijn. Dit kunnen peerings zijn met ISP’s waaruit een groot gedeelte van het verkeer komt, maar het kan ook een Internet access leverancier zijn.

Het tweede bruikbare principe is ingress IP Source address filtering. Hierbij worden IP-pakketten waarvan de source adressen niet horen bij het netwerk waar ze uit komen, geblokkeerd. Hiervoor is wel het noodzakelijk dat de juiste source adressen van de gekoppelde IP-netwerken bekend zijn. Meestal staan deze al in publieke databases. Als de betreffende IP partij (bv bij een peering relatie) al egress IP source address filtering doet, zou deze filtering weg gelaten kunnen worden. Er wordt dan wel een externe afhankelijkheid gecreëerd, terwijl het leidende principe “trust nobody” zou moeten zijn. Optioneel is het mogelijk om van het verkeer dat over de untrusted verbindingen binnenkomt, de pakketten te droppen met source adressen die over de trusted verbindingen binnen zouden moeten komen. Deze filtering vergroot wel de veiligheid (minder gespoofde IP source adressen), maar voorkomt ook dat dit pad als backup gebruikt kan worden.

Tenslotte moeten er operationele security afspraken gemaakt worden met de trusted partijen. Deze bestaan idealiter uit het in quarantaine plaatsen van IP adressen die onderdeel zijn van een cybersecurity aanval over het trusted pad. Omdat zeker gesteld is dat hierover alleen maar verkeer met correcte IP source adressen gaat, is de bron van dit verkeer betrouwbaar. Op basis van informatie over aanvallen (uit het IDS of DDoS detectiesysteem), zullen trusted partijen geïnformeerd worden en maatregelen nemen. Natuurlijk heeft het de voorkeur dit proces integraal te automatiseren, dus van detectie t/m het in quarantaine plaatsen.

Als het aantal betrouwbare partijen toe neemt, ligt het voor de hand om deze koppeling via centrale platformen zoals de Abuse hub te laten lopen. Door de combinatie van deze drie principes, wordt de beschikbaarheid van de corporate diensten aan gebruikers in de trusted netwerken vergroot, terwijl de belasting op de IDS en DDoS systemen beperkt wordt.

Nuances

Het is slechts een van de oplossingen, zo is het ook mogelijk om het trusted verkeer over volledig dezelfde infrastructuur (incl, evt peering) te laten verlopen. Het nadeel hiervan is dat bij overbelasting op het untrusted pad, ook impact op het trusted pad heeft.

Door de complexiteit van de corporate omgevingen is bovenstaande vaak een te grote vereenvoudiging. In die gevallen is eerst een communicatie analyse zinvol, voordat op de netwerk ontwerp fase over gegaan wordt. Zo’n communicatie analyse zal typisch bestaan uit:

  • Gebruikersanalyse; wie zijn de gebruikers en met welke toepassingen communiceren ze.
  • Eindsysteem analyse; welke systemen zijn relevant en waar staan de systemen (in de cloud).
  • Gegevensstroom analyse; wat zijn de stromen, met de bijbehorende profielen en bedreigingen.

De keuze voor potentieel betrouwbare partijen kan best complex zijn. Zeker als de scope internationaal is. Het creëren van de oplossing kan een fors project kan zijn. Desondanks kan de business case positief zijn, omdat de load op de IDS en DDoS scrubbing systemen verlaagd wordt. Door de trusted aanpak, kan de focus voor het trusted verkeer gelegd worden op security bedreigingen die eigenlijk veel belangrijker zijn. Zo worden DDoS aanvallen frequent als afleidingsmanoeuvre gebruikt voor veel gerichtere aanvallen.

Conclusie

Het is mogelijk om met IP maatregelen de robuustheid tegen cybersecurity aanvallen te vergroten. Hierdoor is het eenvoudiger om bv een corporate dienst, toegankelijk te houden voor gebruikers in trusted netwerken. Omdat oa DDoS aanvallen meer een onder controle komen, kan de aandacht gericht worden op meer geavanceerde Cybersecurity bedreigingen.

Over Ad Bresser

Ad Bresser is een onafhankelijk innovatie en netwerk adviseur. Hij ondersteunt organisaties bij het sneller en effectiever innoveren en combineert op een praktische manier de gewenste veranderingen en de beschikbare mogelijkheden.
LinkedIn: https://www.linkedin.com/in/adbresser/