Hoe bescherm je je instelling tegen een DDoS-aanval?

Thema's

DDoS-aanvallen komen helaas vaak en veel voor. Het is dus belangrijk dat je instelling hierop is voorbereid. In dit artikel lees je welke DDoS-bescherming er is op het SURF-netwerk, en wat je als security officer of netwerkbeheerder van een instelling zelf moet doen om optimaal weerbaar te zijn.

Schakel de DDoS-bescherming in via het SURF Netwerkdashboard

In het SURF-netwerk is DDoS-bescherming ingebouwd via een eigen was- en filterstraat. Deze bescherming kan iedere instelling kosteloos aanzetten in het SURF Netwerkdashboard. Je beschermt daarmee je instelling tegen veel voorkomende aanvallen. Zet deze nu aan, zodat je gelijk bent beschermd.

Er zijn twee varianten:

Het DDoS-filter zijn doelgerichte netwerkfilters in het SURF-netwerk die bescherming bieden tegen de meest voorkomende DDoS-aanvallen. Met behulp van deze filters wordt een maximum bandbreedte ingesteld op een aantal protocollen die vaak worden misbruikt bij DDoS-aanvallen. Het gaat hier om ongeveer 10 verschillende protocollen en enkel om UDP-verkeer.

Dit filter biedt bescherming tegen veel voorkomende, standaardaanvallen. Het staat standaard aan voor alle instellingen. In het dashboard kun je ook zien of en wanneer het filter actief is geweest.

DDoS auto-mitigatie: voor de meer geavanceerde DDoS-aanvallen maakt SURFcert gebruik van een auto-mitigatie-oplossing. Middels real-time DDoS-detectie en mitigatie worden aanvallen geïdentificeerd en onmiddellijk geblokkeerd voordat ze het netwerk kunnen verstoren.

De meeste instellingen hebben deze auto-mitigatie ook ingeschakeld. Een uitzondering zijn instellingen die bijvoorbeeld zelf onderzoek doen naar DDoS of anderszins zeer afwijkende verkeerspatronen hebben, meestal gerelateerd aan onderzoeksverkeer.

In de handleiding DDoS-bescherming lees je meer over hoe je deze filters kunt inschakelen.

Maak DDoS-risico onderdeel van de netwerkarchitectuur

De bescherming uit de vorige paragraaf is krachtig, maar heeft vooral tot doel dat de capaciteit van de SURF-internetverbinding niet aan zijn max komt. Instellingen gaan echter geregeld gebukt onder ‘kleinere’ aanvallen waarbij de internetverbinding zelf niet volloopt, maar die toch flinke impact kunnen hebben. Dat komt omdat de router of firewall alsnog de hoeveelheden pakketten of het type verkeer niet aankan, ook al zijn die bij elkaar minder dan de grootte van de internetverbinding.

Let daarom goed op de dimensionering van je eigen router en firewall. Hoeveel pakketten, sessie en verkeer kunnen deze aan, en past dat bij de grootte van mijn internetaansluiting?

Denk goed na over wat je voor en wat achter je firewall zet

Met name stateful of next generation firewalls filteren het verkeer intensief waardoor ze sneller tegen limieten aanlopen. Als deze firewall tegen zijn grenzen aanloopt, is alles wat erachter zit alsnog onbereikbaar. Denk daarom goed na over wat je achter de firewall plaatst, dus wat baat heeft bij bescherming door die firewall, en wat er voor.

Zo is het verstandig om de DNS-servers of corporate website, die een grotere kans hebben op een aanval, niet door een zware firewall af te schermen, maar bijvoorbeeld in een ‘demilitarised zone’ te plaatsen.

De website, als meest zichtbare deel van een instelling, is vaker doelwit. Als dit bij een externe hostingpartij ondergebracht wordt, dus buiten het SURF-netwerk, kan SURFcert niets betekenen. Zie voor meer informatie over wat je hieraan kunt doen het artikel Eenvoudige DDoS Bescherming voor je Extern Gehoste Website.

Vermijd Network address translation (NAT)

Vermijd NAT zoveel mogelijk bij het inrichten van het instellingsnetwerk. Naast andere nadelen is het bij een aanval op het externe adres van een NAT-gateway onduidelijk wat er precies aangevallen wordt, en zijn er dus weinig aanknopingspunten voor het achterhalen van de oorzaak. Je kunt bij SURF voldoende IP-adressen krijgen voor je instelling (via klantsupport: klantsupport@surf.nl). Je hebt NAT dus niet nodig voor IP-adresbesparing.

Oefen een DDoS-aanval op je productienetwerk

Of je instelling werkelijk weerbaar is, kun je toetsen met een DDoS-oefening. In theorie kan alles kloppen of juist gedimensioneerd zijn, maar de een werkelijke test, op het productienetwerk, brengt legt punten bloot die beter of anders moeten. Oefenen op productie kan betekenen dat er een onderbreking is, maar wel op een door jou gekozen moment in plaats van op dat van een werkelijke aanvaller.

SURFcert oefent met enige regelmaat DDoS’en in het netwerk. Heb je interesse om jouw instelling daar ook actief onderdeel van te laten zijn, meld je dan bij SURFcert. Zo kunnen we samen de hele beschermingsketen nog beter weerbaar maken.

Volg incidentmeldingen van SURFcert op: samen verantwoordelijk voor ons netwerk

Nagenoeg alle DDoS-aanvallen maken misbruik van niet goed geconfigureerde serversoftware (reflectie, van bijvoorbeeld open DNS resolvers), of van besmette machines in een botnet.

1 netwerk, gezamenlijke verantwoordelijkheid

Alle leden van SURF zijn aangesloten op het hetzelfde netwerk, het SURFnetwerk. Je instellingsinfra op orde hebben is daarom niet alleen belangrijk voor je eigen instelling, maar ook voor de sector als geheel. Een succesvolle DDoS-aanval bij een instelling kan namelijk ook andere instellingen raken. We moeten ons daarom gezamenlijk inspannen om het netwerk schoon en weerbaar te houden.

SURFcert stuurt pro-actief meldingen naar instellingen als ze een verkeerd geconfigureerde server detecteert (te gebruiken voor een reflectieaanval), of als er virusbesmettingen binnen je netwerk zijn gevonden (in te zetten in een botnet). Volg deze daarom alsjeblieft (snel) op. Het is niet alleen in het belang van je eigen instelling, maar dus ook van alle aangesloten instellingen op ons netwerk.

Spoor daders van de DDoS-aanval op

Aan een DDoS-aanval is technisch niet direct te zien wie erachter zit, omdat het verkeer via andere servers ‘gereflecteerd’ wordt of wordt uitgestuurd door een botnet. Echter, bij verschillende instellingen is gebleken dat daders wel degelijk opgespoord kunnen worden.

Lang niet altijd wordt een aanval opgeëist. Daders worden in veel gevallen binnen of nabij de eigen instelling gevonden. Om ze te vinden kun je verschillende stappen nemen:

In technische zin kun je nu al zorgen dat je logging op orde is, bijvoorbeeld van je DNS-servers. Hiermee kunnen interne daders te vinden zijn die naar DDoS-‘bootersites’ gebrowsed zijn, waar je een DDoS kunt kopen.

Als de aanval is geweest kunnen juist ook niet-technische manieren van opsporing ook heel effectief zijn waardoor een dader in zicht komt. Met vragen als “Wat was het doel-IP-adres en welke rol heeft dat?”, “Wie had er belang bij bijvoorbeeld het niet doorgaan van een examen?” en “Is er iemand aan het opscheppen over dat de instelling onder vuur lag?”

Bij schade kan het de moeite waard zijn om aangifte te doen. SURFcert kan adviseren over het proces van aangifte doen.

Meer lezen & luisteren

Lees meer over DDoS-bescherming op de SURFcert-wiki

Lees het artikel eenvoudige DDoS-bescherming voor je extern gehoste website.

Deel binnen je instelling de SURF-podcast Alles wat je moet weten over DDoS-aanvallen. Daarin leggen we kort uit wat het is en wat je medewerkers en studenten daar van merken.

Lees meer over het thema Technische weerbaarheid

Heeft je instelling te maken met een DDoS-aanval? Bel SURFcert!

Neem contact op met SURFcert via 030 - 230 5112.

Wij kijken dan met je mee en nemen direct mitigerende maatregelen (als mogelijk), of geven advies over wat je kunt doen.