Zwakke plekken in kern netwerk groeiend probleem

"De grote ‘backbone’­providers hebben er nu eerder dagelijks dan wekelijks mee te maken", constateert Job de Haas van computerbeveiligingsbedrijf ITSX. "Aanvallen kunnen daarbij een continue stroom gegevensverkeer genereren van 3 tot 4 Gbps. Daarbij worden rustig 150 duizend computers per aanval ingezet." Edith Mastenbroek, woordvoerster van XS4all, beaamt dat dit een groeiend probleem is. Zij wijst op het snel toenemend aantal DSL­ en kabelinternetverbindingen waar geen of zeer gebrekkige beveiliging op is aangebracht. Die computers van onwetenden vormen het gereedschap voor de massale aanvallen van hackers. De heel grote aanvallen komen niet dagelijks voor maar kleinere pesterijen wel. Mastenbroek beschrijft groepjes jongeren, veelal zeer in techniek geïnteresseerd, die elkaar zo nu en dan online in de haren vliegen. De aard van de aanvallen veranderde in de loop van de jaren ook. Bestonden in de periode 1995 tot 1997 aanvallen nog voornamelijk uit het plaatsen van ‘packet sniffers’ en enkelvoudige Denial of Service (DoS)­attacks, vanaf 1998 nam het gebruik van geautomatiseerde ‘scanning tools’, gedistribueerde DoS­aanvallen en e­mail­script attacks de overhand. Frustreren Hackers zijn daarbij in toenemende mate op zoek naar manieren waarop ze het hele pad van de aanvalscomputers naar het doel kunnen frustreren, legt De Haas uit. De routers die het verkeer reguleren op internet kunnen heel veel pakketten doorsturen zonder al te ‘diep’ in het pakket te kijken. Door de IP­pakketten te manipuleren, kunnen hackers ervoor zorgen dat de router veel grotere hoeveelheden pakketten uit een stroom wil bekijken om ze naar de juiste bestemming te sturen. Die analyse voert de router vaak softwarematig uit in de hoofdprocessor. Het proces van doorsturen verloopt daardoor trager dan wanneer het hardwarematig plaatsvindt. Het gevolg is dat opstoppingen ontstaan in de router en het apparaat zelfs uitvalt wanneer de belasting groot genoeg is. Als een groot aantal routers op de routes naar een computer op deze manier ‘plat’ gaan, raakt die server volledig onbereikbaar. "Vanuit de hacker heeft het aanpakken van de kern van het netwerk bovendien het voordeel dat met één aanval veel meer bedrijven geraakt kunnen worden", zegt Benjamin Ellis, beveiligingsexpert van Juniper Networks. Dit bedrijf is, met een marktaandeel van ruim 20 procent, de belangrijkste concurrent van Cisco bij de levering van de zware internetrouters die de hoofdstromen van het internetverkeer regelen. Opmerkelijk Juniper kwam deze maand met een reeks aankondigingen op het gebied van beveiliging. Die melding was opmerkelijk want tot nog toe leek het bedrijf zich niet druk te maken over de veiligheidsaspecten van zijn apparatuur. "We hebben altijd aandacht gehad voor de beveiliging van de routers, maar zagen dat als een intrinsiek onderdeel van het product", verklaart Ellis. "De verschuiving van de aandacht van de hackers zorgt ervoor dat klanten vragen gaan stellen over onze strategie op dit gebied, die wij nooit zo expliciet hebben geëtaleerd. Daarbij vinden wij dat we een taak hebben de beveiliging van het netwerk van de periferie naar de kern uit te breiden om zo de nieuwe aanvalsvormen te kunnen bestrijden." Volgens Ellis beschikken alle Juniper­routers al jaren over basale beveiligingfunctionaliteiten zoals ‘packetfiltering en ratelimiting’. Daar voegt het bedrijf nu een nieuwe firewalltechnologie aan toe die dieper in de IP­pakketten kan kijken (‘statefull firewall’) en een filtering kan uitvoeren. Verder introduceerde de netwerkapparatuurleverancier M­Pic, een technologie die real­time het verkeer in het netwerk in de gaten kan houden (‘monitoring’). De Haas van ITSX vindt dat de Juniper­routers een betere reputatie hebben op het gebied van veiligheid dan die van de concurrentie. "Juniper heeft het voordeel dat het bedrijf laat de markt heeft betreden en altijd inzette op een concurrentie op kwaliteit. Dat heeft tot gevolg dat we zien dat deze routers, ook bij een hoge belasting, maar weinig uitval vertonen. Beveiligingslekken ontstaan vaak door foutjes in software, waarbij problemen optreden wanneer de belasting te hoog oploopt." Specialistisch Netwerkbeveiliging wordt over het algemeen geassocieerd met specialistische bedrijven als Checkpoint, ISS, Network Associates of Symantec. Daarnaast ontwikkelden een reeks aan start­upbedrijven de afgelopen jaren softwaretoepassingen of hardwarehulpmiddelen. Veel van deze bedrijven werden overgenomen door de grote netwerkleveranciers om dit specialisme binnenboord te halen. Cisco kocht bijvoorbeeld onlangs nog het bedrijf Okena. Juniper ontwikkelde daarentegen alle beveiligingstechnologie die nu wordt aangekondigd, in de eigen laboratoria. Kritische vragen over een mogelijk gebrek aan gespecialiseerde kennis bij Juniper pareert Ellis door te stellen dat de beveiliging in feite niets anders is dan het snel beoordelen van het type gegevenspakketten dat de router krijgt aangeboden. "Daarin hebben wij ons nou juist al die jaren gespecialiseerd." Hij legt uit dat overnames bovendien meer voor de hand liggen wanneer je oplossing zoekt in de vorm van software. Technieken om dergelijke processen met hardware aan te pakken laten zich niet makkelijk inkopen. Alle Juniper­routers kunnen gebruikmaken van de nieuwe veiligheidsfunctionaliteiten. De herprogrammeerbare applicatiespecifieke processors (Asic’s) kunnen de nieuwe taken uitvoeren na een opwaardering van de software. XS4all gebruikt ook routers van Juniper, net als die van de andere routerfabrikanten. De nieuwe hulpmiddelen zijn bij de internetprovider bekend, maar Mastenbroek kan niet zeggen dat dit technologie is waar lang naar is uitgekeken. "Wij vinden dat leveranciers van dit soort kritische apparatuur hun beveiliging constant op het allerhoogste niveau moeten hebben. Missen zij de aansluiting met de laatste ontwikkelingen, dan prijzen ze zichzelf uit de markt." Dienst Juniper verwacht met het nieuwe gereedschap voor beveiliging het de serviceproviders makkelijker te maken om beveiliging als een dienst aan te bieden aan hun klanten. Ellis: "Dat verlost de systeembeheerder van een bedrijf van het bijhouden van de allerlaatste lapmiddelen om hackers buiten te houden. Bovendien kan een serviceprovider de kosten van het op peil houden van de beveiligingskennis over vele klanten verdelen. Het past ook in de trend dat zowel de aanval als de verdediging zich meer naar het centrum van het netwerk verplaatsen." De Haas lijkt het geen goed idee blind te varen op een dienstverlener voor zo iets cruciaals als netwerkbeveiliging. Hij geeft toe dat het uitbesteden van dergelijke functionaliteiten zeker in het midden­ en kleinbedrijf een efficiënte aanpak kan zijn. Dat mag er echter nooit toe leiden dat een bedrijf alle macht over de systemen uit handen geeft. "Binnen het bedrijf moet de benodigde kennis aanwezig blijven om de juiste keuze voor de dienstverlener te maken. Anders bestaat het vertrouwen alleen op papier."