Internetaanbieders spelen een cruciale rol bij het bestrijden van gekraakte computers door het verkeer in hun netwerk te controleren op misbruik. Toch kunnen ook zij dit misbruik van thuiscomputers niet in hun eentje voorkomen.
| Informeel netwerk De meeste aanbieders van netwerkcapaciteit voor internet hebben een systeem om snel meldingen van ddos-aanvallen te verwerken en deze met een filter zo dicht mogelijk bij de bron te stoppen. Veel systeembeheerders bij internetaanbieders hanteren informele lijsten met telefoonnummers van belangrijke personen die bij een calamiteit bij kunnen springen. Daarnaast zijn er inmiddels ook commerciële diensten beschikbaar die aanbieders ondersteuning kunnen bieden als ze een erg zware aanval te verduren krijgen. Deze helpende hand kan cruciaal zijn bij de bestrijding van een aanval als al het netwerkverkeer naar en van de aanbieder praktisch onmogelijk is geworden. |
Script
Vunderink heeft inmiddels een script geschreven dat de door Korgo gekraakte computers van de chatserver verwijdert, zodat deze uit het zombienetwerk vallen. “Dit is in feite niet meer dan symptoombestrijding. Naast Korgo zijn er zoveel andere wormen en Trojaanse paarden voor het Windows-platform dat het dweilen met de kraan open is.” Naast dit misbruik van thuiscomputers ziet Vunderink ook het uitbuiten van slecht geïnstalleerde php-modules opkomen. “Kant-en-klare bulletin boards in php en andere onderdelen voor een plug-en-play-site kennen veel lekken. Het is een nieuw populair doelwit, omdat de hackers er webservers met veel netwerkcapaciteit mee in handen krijgen”, aldus Vunderink.
Hij ziet veel meer heil in een goede voorlichting van thuisgebruikers. Om de gevaren van slecht beveiligde computers aan dit publiek uit te leggen is Vunderink de website http://totally.insecure.nl gestart. Bezoekers kunnen er informatie vinden over hoe hun computer misbruikt kan worden en hoe zij dit kunnen voorkomen. Volgens hem heeft Microsoft in zijn Service Pack 2 voor XP ook goed werk verricht doordat het de beveiligingsstatus van computers nauwgezet in de gaten houdt en computergebruikers actief op lacunes in die beveiliging wijst.
Internetaanbieders
Ook internetaanbieders kunnen het nodige doen om misbruik in hun netwerken op te sporen en internetters te wijzen op problemen in hun systemen. Een goede maatregel die internetters zelf kunnen nemen is hun eigen firewall ook het uitgaande verkeer op verspreiding van wormen en Trojaanse paarden te laten controleren. Daarnaast kunnen ook internetaanbieders het uitgaande verkeer vanuit hun netwerk controleren op patronen die wijzen op wormen en Trojaanse paarden. Ook zijn er filters in gebruik die verkeer dat volgens de Iana-lijst (Internet Assigned Numbers Authority) van nepadressen afkomstig is, onderscheppen. “Veel internetaanbieders vergeten regels op te stellen voor het uitgaande verkeer, terwijl dit de verspreiding naar andere kwetsbare systemen kan tegenhouden. Het is daarmee een belangrijke preventieve maatregel”, zegt Simon Hania, technisch directeur van Xs4all.
Daarnaast controleren steeds meer aanbieders de verbinding van computers met internet op misbruik. Beheerafdelingen krijgen een melding als een computer de volledige in het abonnement beschikbare netwerkcapaciteit opslurpt. De aanbieder sommeert de gebruiker bij daadwerkelijk voorkomen van misbruik vervolgens om zijn systeem op te schonen. Internetaanbieder
|
Daarnaast zijn er ook systemen op komst die gespecialiseerd zijn in het afslaan van ddos-aanvallen. Beveiligingsspecialist Kahuna heeft het systeem van fabrikant Radware bij de recente Ovse-top gebruikt om mogelijke aanvallen op het voor deze gelegenheid ingerichte hoge-capaciteitsnetwerk af te slaan. Radware Defense Pro slaat ddos-aanvallen in een netwerk af door aan de hand van een up-to-date patronendatabase goede sessies van kwade te scheiden en met een filter het aanvalsverkeer af te stoppen.
Volgens Kahuna is een toegewijd apparaat voor het afslaan van ddos-aanvallen inmiddels geen onnodige luxe meer. “Het Radware-apparaat werkt met speciaal ontwikkelde chipsets die netwerkverkeer op applicatieniveau tot verbindingen van 3 Gbps op onrechtmatigheden kan controleren”, zegt Jeroen Jansen, werkzaam bij de dienstverlener. “Veel Trojaanse paarden en ander materiaal dat kwetsbaarheden uitbuit is actief op netwerkpoorten die uit het zicht van firewalls blijven of niet opvallen. Door in het netwerk tot op applicatieniveau te vlooien op misbruik is aanvalsverkeer te stoppen.”
Volgens Jansen zijn er nog geen aanbieders in Nederland die dit hoge capaciteitssysteem gebruiken. De meeste aanbieders werken met systemen die op generieke hardware draaien. Hania bevestigt dat er aparte apparatuur nodig is om een aanval eruit te filteren. Hij bestrijdt dat daar aparte chipsets zoals die in het Radware-apparaat voor nodig zijn.
Werklast verdelen
Een andere effectieve, maar ook dure maatregel is om websites en diensten over meerdere systemen en over verschillende plekken op de wereld uit te smeren. Een cachingsysteem, zoals Akamai dat aanbiedt, verdeelt de inhoud op websites over meerdere systemen in verschillende landen en combineert dit met een routeringssysteem dat rekening houdt met geografische spreiding van de bezoekers van deze websites. “Dit distributiesysteem is misschien niet direct bedoeld voor het afslaan van een ddos-aanval. Toch zorgt deze verdeling over meerdere systemen ervoor dat een doelwit uitgebreid wordt van één à twee tot honderden tot duizenden systemen die het samen langer volhouden”, aldus Hania.< BR>
