- Door
- Redactie
- geplaatst op
- 19 mei 2015 08:00 uur
Vorige maand kwam een persbericht naar buiten dat verschillende grote partijen, zoals SIDN, Surfnet en ASP4all, zich hebben aangesloten bij het Trusted Network Initiative (TNI). Inmiddels hebben meer bedrijven zicht aangemeld. Bekijk de gehele lijst hier.
In het kort wat in het persbericht naar voren kwam: TNI heeft als doel vertrouwde netwerken op internet te onderscheiden en zo een vertrouwd internet te realiseren. Het voorziet aangesloten partijen van een laatste redmiddel tegen DDoS-aanvallen. In geval van een grote of langdurige DDoS-aanval kan een partij zelf beslissen om gebruik te maken van Trusted Routing; men koppelt daarmee de kritische onderdelen van je internet dienstverlening alleen aan andere Trusted Networks. Het idee is ontwikkeld door stichting NLnet en de NL-ix, en is mede mogelijk gemaakt door The Hague Security Delta.
Wij vroegen Jan Hoogenboom, oprichter van NL-ix en mede-initiatiefnemer van TNI over het hoe en wat van het Trusted Network Initiative.
Hoe verbetert het initiatief het internet als zodanig en hoe helpt het bij de opsporing?
“Het Trusted Network Initiative heeft de doelstelling om een onderscheid te kunnen maken in Trusted en Untrusted partijen op internet. Een Trusted Network kan -indien gewenst of noodzakelijk- een onderscheid gaan maken in Trusted en Untrusted internet connectivity voor bepaalde diensten. Het hebben van een zo groot mogelijke groep aan deelnemende partijen aan het Trusted Network Initiative zal het initiatief verder versterken en daarmee de druk op het meer vertrouwd maken van het internet en het beter beveiligen van netwerken stimuleren. Het is daarbij niet noodzakelijk dat al deze partijen ook daadwerkelijk aansluiten op Trusted Routing, meedenken en -praten is ook al heel welkom.”
In de policy is ook beschreven dat een Trusted Network-partij kan worden gevraagd om mee te werken aan een onderzoek indien de veiligheid van de andere partijen in gevaar wordt gebracht. De policy laat zelfs toe dat, indien een Trusted Network-partij niet adequaat handelt om b.v. een aanval te stoppen, (tijdelijk) kan worden uitgesloten van Trusted Routing”, de zogenoemde ‘strafbankprocedure’. In bijzondere gevallen kan het Trusted Network Initiative zelfs besluiten het certificaat in te trekken indien een partij zich structureel niet aan de afgesproken policy houdt. Het is dus aan het Trusted Network om zijn eigen netwerk veilig te houden.
Volgens Jan Hoogenboom, oprichter van NL-ix: “Het Trusted Network Initiative is een belangrijk initiatief waardoor er een mogelijkheid ontstaat om het internet te verdelen in een Trusted en Untrusted deel d.m.v. overleg, policy, certificering en routering. Het is een belangrijke stap in het veiliger en betrouwbaarder maken van het internet.”
Hoe is de technische werking van het Trusted Network?
Jan Hoogenboom geeft aan dat het Trusted Network Initiative een aantal doelstelling en bijbehorende stappen kent:
1) Het is een platform waarop partijen, als lid of waarnemer, de krachten bundelen in de vorm van de Trusted Network Initiative overlegorgaan
2) Gezamelijk komen tot en onderhouden van een policy voor wat deze partijen gezamenlijk als een Trusted Network beschouwen. Met andere woorden; wat moeten partijen doen en laten om hun netwerk op orde te hebben betreffende veligheid en betrouwbaarheid
3) Het certificeren van partijen als Trusted Network aan de hand van gedefinieerde policy
4) Na de certificering kan de partij aansluiten op een Trusted Routing omgeving van een Internet Exchange
Trusted Routing kan daarna op verschillende manieren worden ingezet:
1) ‘Last resort’-maatregel indien alle andere maatregelen, zoals een anti-DDoS (cloud) diensten, niet meer werken bij een zeer grote cyberaanval
2) Inzetten als noodmaatregel voor een heel subnet of een los IP-adres en daarbij de aankondiging van die adressen op het Untrusted Internet terugtrekken, ongunstiger maken of het verkeer laten droppen
3) Inzetten als permanente vorm van scheiding van verkeer tussen het Trusted en het Untrusted deel van het internet
Een Trusted Network krijgt een label ‘Trusted’. Andere Trusted Networks kunnen dan via Trusted Routing op een internet exchange besluiten met elkaar verkeer uit te wisselen om een van de bovenstaande redenen.
Hoe snel kan een aangevallen partij omschakelen naar het Trusted Network?
Om spraakverwarring te voorkomen; een Trusted Network is een partij die heeft voldaan aan de certificeringseisen van het Trusted Netwok Initiative. Trusted Routing is de technologie waarop deze Trusted Networks met elkaar verbonden worden op een bestaande internet exchange.
In principe onmiddellijk mits de aangevallen partij een Trusted Network is en vooraf de voorbereidingen heeft getroffen en is aangesloten op Trusted Routing.
Wie kunnen zich bij bij het initiatief aansluiten?
Alle netwerk access- en contentpartijen die diensten aanbieden op het internet die de policy van het Trusted Network Initiative willen ondertekenen. Technische voorwaarde is het gebruik van BGP dus het hebben van een eigen uniek AS-nummer en eigen routeerbare IP-range.
Wat kost het om aan te sluiten en gebruik te maken van het Trusted Network?
Het aansluiten op een trusted netwerk is zeer laagdrempelig en zal in veel gevallen gratis worden geleverd op een al bestaande internet exchange-poort indien die Exchange Trusted Routing ondersteunt. Voor partijen die nog niet op een internet exchange die Trusted Routing ondersteunt zijn aangesloten, zijn de kosten van maximaal enkele honderden euro’s per maand (tot 10 Gbps) afhankelijk van de gewenste capaciteit.
Welke voorwaarden zijn er om aan te sluiten bij het initiatief?
Zoals hierboven aangeven zijn er een aantal stappen vastgelegd om uiteindelijk als Trusted Network gecertificeerd te worden. Echter is het worden van een Trusted Network is geen verplichting. Partijen kunnen ook een bijdrage leveren door mee te denken en ideeën in te brengen in het Trusted Network Initiative. Indien een partij daadwerkelijk als Trusted Network wil koppelen aan Trusted Routing, zal deze aan de policy moeten voldoen en ook de technische omgevingen hiervoor dienen in te richten.