Denial-of-Service op school

Denial-of-Service op school

Welkom

Inleiding

Liggen jouw lessen wel eens stil doordat systemen niet meer werken door incidenten of hackers? Een (distributed) denial-of service of (D)DoS-aanval is één van de bedreigingen van de continuïteit van het onderwijs die steeds vaker voorkomt. Uit onderzoek van de PO-Raad, VO-raad en Kennisnet uit 2018 blijkt dat 2 op de 5 schoolbesturen in het vo met een (D)DoS-aanval te maken heeft gehad. In het po is dat 1 op de 20 schoolbesturen.

Daarom is het belangrijk om maatregelen tegen deze bedreiging te nemen. Dit informatiedossier is voor bestuurders en/of directieleden, ict-coördinatoren en technisch medewerkers in het onderwijs. Samen zijn zij er verantwoordelijk voor dat het onderwijs op hun school of scholen altijd door kan blijven gaan.

Dit informatiedossier geeft voor bestuurders, ict-coördinatoren en technisch medewerkers aan welke maatregelen binnen zijn of haar takenpakket zouden vallen. Uiteraard is het mogelijk dat één van deze categorieën medewerkers meerdere functies op zich neemt, of dat bepaalde aspecten (aan derden) uitbesteedt worden. Het is aan het schoolbestuur zelf om hierin de voor haar juiste manier te kiezen. De Aanpak IBP (PO & VO) kan hiervoor aanvullende informatie geven.

Dit informatiedossier is opgesteld door leveranciers in de onderwijsketen, mensen uit het onderwijs en politiemedewerkers. Heb je nog vragen over of mis je nog informatie in dit informatiedossier? Of heb jij nu problemen waarbij dit informatiedossier nog geen hulp biedt? Neem dan contact met ons op via ibp@kennisnet.nl.

 

 

 

Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaarden de auteur(s), redacteur(s), PO-Raad, VO-raad en Kennisnet geen aansprakelijkheid voor eventuele fouten, onvolkomenheden of schade als gevolg van het gebruik van dit document. Bij twijfel of juridische geschillen wordt geadviseerd om een deskundige in te huren zoals een advocaat, ict-consultant of een in privacy gespecialiseerd jurist.

Wat is een (Distributed) Denial-of-Service aanval?

Veel scholen hebben er mee te maken; (D)DoS-aanvallen. Denial-of-Service (DoS) is één van de krachtigste aanvallen die een “hacker” kan uitvoeren tegen een organisatie. Een (D)DoS-aanval is een dan ook een ernstige en gevaarlijke cyberaanval.

Een DoS-aanval is gericht tegen een systeem of meerdere systemen. De aanval heeft als doel om de beschikbaarheid van dit systeem te onderbreken of ‘plat te leggen’. Denk hierbij aan een website van een school, een internetverbinding of een online rekentoets. Dit gebeurt meestal door het versturen van meer verzoeken dan het systeem kan afhandelen.

Een Distributed Denial-of-Service aanval (DDoS-aanval) is een iets meer gecompliceerde en krachtiger versie van een DoS-aanval. Een DoS-aanval gebruikt slechts één of enkele machines. Bij een DDoS-aanval is sprake van soms wel duizenden machines die de allemaal hetzelfde doen. Bij een DDoS-aanval wordt vaak gebruik gemaakt van een zogenaamd botnet, een verzameling van computers die onder de controle van de aanvallers zijn gekomen.

 

Wat kun je ertegen doen?

Net als met gewone wapens is er ook op het gebied van cybercriminaliteit een wapenwedloop. Daarom is het in de praktijk niet mogelijk om jezelf 100% te verdedigen tegen dit soort aanvallen.

Je kan jezelf wel zo goed mogelijk beschermen tegen (D)DoS-aanvallen en/of de gevolgen daarvan. Daarvoor zijn de volgende hoogover stappen:

  • Herkennen; je moet het probleem herkennen om er iets aan te kunnen doen.
  • Aanpak; je moet weten wie wat op welk moment moet doen.
  • Preventie; je moet weten wat je kan doen om (D)DoS-aanvallen in de toekomst te voorkomen.

Deze drie stappen komen in de volgende hoofdstukken steeds terug, waarbij meer gedetailleerde uitleg wordt gegeven.

Structuur van dit informatiedossier

Bestuurders en/of directieleden, ict-coördinatoren en technisch medewerkers zijn in het onderwijs meestal de rollen betrokken zijn bij maatregelen tegen (D)DoS-aanvallen. Deze rollen kunnen belegd zijn bij één of meerdere personen binnen de school of buiten de school (bijvoorbeeld bij een internetprovider of externe ict-beheerder). Per rol werken we in dit informatiedossier uit wat je kan doen tegen (D)DoS-aanvallen.

  • Hoofdstuk 1 “Onderwijs moet altijd doorgaan.” In dit hoofdstuk ligt de nadruk op de rol van het bestuur. Het bestuur is verantwoordelijk om de maatregelen en/of afspraken rondom (D)DoS-aanvallen vast te leggen in een beleid met als doel de organisatie zoveel mogelijk te beschermen tegen (D)DoS-aanvallen en/of de gevolgen ervan.
  • Hoofdstuk 2 “Welke processen horen hierbij?” Meestal is het een ict-coördinator die, in opdracht van het bestuur, de processen rondom een anti-(D)DoS-beleid oppakt. Dit hoofdstuk gaat dieper in op deze processen.
  • Hoofdstuk 3 “Wat is de techniek hierachter?” Dit hoofdstuk geeft de technisch beheerder (security officer) inzicht in de technische vraagstukken rondom (D)DoS-aanvallen. Daarnaast kunnen deze vraagstukken ook houvast geven als het technisch beheer is uitbesteed aan een externe partij.

Hoofdstuk 1 “Onderwijs moet altijd doorgaan”

In dit hoofdstuk ligt de nadruk op de rol van de bestuurder. Deze is eindverantwoordelijk voor de informatiebeveiliging en moet het belang uitdragen van het opstellen van anti-(D)DoS-maatregelen, afspraken vastleggen en zorgen dat de maatregelen worden uitgevoerd. Op operationeel en strategisch niveau blijkt dat dit hoofdstuk in de praktijk vaak opgepakt wordt door een directielid of schoolleider. Ook kan het initiatief bij de ict-coördinator vandaan komen. Binnen dit hoofdstuk is gekozen voor de aanspreekvorm directie.

# Herkennen

Als directie moet je kunnen uitdragen waarom het onderwijs beschermd moet worden tegen (D)DoS-aanvallen. Je moet kunnen inzien hoe groot de dreiging van (D)DoS-aanvallen is.

Herkennen - Belang van het nemen van anti-(D)DoS-maatregelen

(D)DoS-aanvallen kunnen de ict en alle daarvan afhankelijke werkzaamheden binnen de school verstoren. Door een (D)DoS-aanval kunnen leerlingen opeens niet meer bij hun digitale leeromgeving, is de website onbereikbaar en moeten digitale toetsen op een ander moment hervat worden.

Dit kan leiden tot imagoschade, wat invloed heeft op het vertrouwen in de school bij de leerlingen en bij de ouders. Daarnaast eist de wetgeving passende technische maatregelen als het gaat om informatiebeveiliging, zodat het onderwijs altijd door kan gaan. Het is daarom belangrijk om de juiste maatregelen te treffen om de school tegen inbreuken als (D)DoS aanvallen te beschermen.

 

Herkennen - Bepaal hoe groot de dreiging is

Als het goed is worden binnen je instelling (beveiligings)incidenten op een centrale plek gemeld. Het is nuttig om te weten of een (beveiligings)incident een (D)DoS-aanval is, zodat je kan bijhouden hoe vaak het voorkomt.

Heb je hier zelf (nog) geen zicht op, lees dan eens de trendrapporten van organisaties die hier actief onderzoek naar doen:

  • Het Nationaal Cyber Security Centrum (NCSC) brengt ieder jaar een rapport uit genaamd ‘Cybersecuritybeeld Nederland’.
  • Surfnet publiceert ieder jaar een rapport, genaamd ‘Cyberdreiginsbeeld’, welke is toegespitst op het onderwijs.

# Aanpak

Informatiebescherming is een strategisch probleem en vraagt dus ook om een strategische aanpak. Dit betekent simpelweg dat je als directie op hoofdlijnen moet bepalen wat je aanpak wordt. Daarmee zorg je voor een goede samenhang tussen mensen, techniek en processen.

Aanpak - Opstellen van een beleid

Als directie stel je doelen vast en maak je plannen om deze te bereiken. Om de schade van (D)DoS-aanvallen in de toekomst te beperken, is het van belang om de bescherming tegen(D)DoS-aanvallen op te nemen in het informatiebeveiligings- en privacybeleid (IBP-beleid) van de school.

In de Aanpak IBP (kn.nu/IBPOnderwijs) is meer informatie terug te vinden over het opstellen van een IBP-beleid voor het PO en VO. 

Nu het in het IBP-beleid is genoemd, is het aan de directie om vervolgens te bepalen wie binnen de organisatie de benodigde maatregelen treft en wat de randvoorwaarden voor deze maatregelen zijn. Dit kan worden vastgelegd in een bijsluiter (D)DoS. De volgende vraagstukken kunnen hierbij als leidraad dienen:

  • Wie zorgt dat mijn onderwijs altijd door kan blijven gaan? Wat is het beleid?
  • Wie krijgt welke verantwoordelijkheid in de door mij gemaakte keuzes?
  • Hoe gaan we om met bekende ‘daders’?
  • Wat mag het kosten (tijd, geld en prioriteit)?

Naast deze vraagstukken kunnen in de bijsluiter ook de preventieve maatregelen beschreven worden.

# Preventie

Als directie moet je weten op welke wijze je je instelling beschermt tegen toekomstige (D)DoS-aanvallen. De daadwerkelijke invulling kun je overlaten aan de ict-coördinator en technisch medewerker. Op hoofdlijnen valt preventie uiteen in:

  • Het treffen en testen van (technische) maatregelen
  • Afspraken maken met leveranciers van producten/diensten die uit kunnen vallen
  • Bewustwording en voorlichting

Preventie - Maatregelen treffen en testen

Er zijn heel veel (technische) maatregelen die je zou kunnen treffen. Als directie moet je zorgen dat je ict-coördinator tijd, geld en kennis heeft om zich voldoende in de maatregelen te verdiepen en deze vervolgens te implementeren. Welke mogelijke maatregelen er zijn, wordt beschreven in hoofdstuk 2.

Je wilt ook weten dat je maatregelen werken en wanneer een systeem alsnog uitvalt, wil je goed kunnen reageren. Vergelijk het met een BHV-cursus, waarbij de oefening zorgt dat je bij een incident snel en adequaat kan reageren. Zorg ervoor dat je ict-coördinator een helder stappenplan maakt en oefen af en toe ‘op het droge’ of het stappenplan ook werkt.

 

 

Preventie - Afspraken met leveranciers

Bij elke leverancier moet je de vraag stellen of het product of de dienst die je afneemt vatbaar is voor (D)DoS-aanvallen. Wanneer dat zo is, moet je samen met de leverancier bepalen wie verantwoordelijk is voor de bescherming en wie wat doet wanneer er een (D)DoS-aanval plaatsvindt.

 

Preventie - Bewustwording en voorlichting

Als directie ben je er verantwoordelijk voor dat jouw school (scholen) voldoet aan de huidige wet- en regelgeving. Een belangrijk onderdeel hierin is de bewustwording rondom informatiebeveiliging en privacy (IBP). Door medewerkers een duidelijke voorlichting te geven op het gebied van IBP kunnen veel problemen voorkomen worden. Je stelt medewerkers op deze manier ook beter in staat om leerlingen goed te begeleiden en bewust te maken van ‘gevaren’, zodat ze op het juiste digitale pad blijven.

Een andere rol voor de directie is om leerlingen voorlichting te geven op het gebied van IBP. Maak leerlingen niet alleen mediawijs, maar wijs ze ook op de gevaren en consequenties van bepaald gedrag. Hoewel veel leerlingen het uitvoeren van een (D)DoS-aanval als kattenkwaad zien, is dit een strafbaar feit volgens de wet. Daarnaast kan het als voorloper op het gebied van hacken gezien worden. Dit ‘kattenkwaad’ kan dus serieuze gevolgen hebben. Het duidelijk maken van eventuele consequenties en het bieden van legale alternatieven op het gebied van ict kan er voor zorgen dat meer leerlingen hun technische creativiteit voortaan op een goede manier inzetten.

Meer informatie over voorlichting van medewerkers en leerlingen is te vinden in hoofdstuk 2 en in de Aanpak IBP (PO & VO).

Hoofdstuk 2 “Welke processen horen hierbij?”

Binnen de school (of scholen) ben jij (bijvoorbeeld als ict-coördinator) verantwoordelijk voor de organisatorische zaken met betrekking tot ict. Je wilt dat je school beter voorbereid is op het voorkomen van (D)DoS-aanvallen. Dit hoofdstuk gaat in op de processen en organisatorische maatregelen die geregeld moeten worden.

# Herkennen

Het herkennen van (D)DoS-aanvallen en het belang van maatregelen komen vaak via de ict-coördinator of technisch beheer bij het bestuur. Indien het bestuur dus niet zelf het belang van anti-(D)DoS maatregelen inziet, is het de taak van de ict-coördinator om dit probleem aan te kaarten. Vervolgens ligt het uiteindelijke besluit om maatregelen te nemen dan bij het bestuur.

# Aanpak

Middelen en maatregelen die genomen worden om de gevolgen en risico’s van (D)DoS-aanvallen te beperken worden (D)DoS-mitigatie genoemd. De mitigatie van (D)DoS-aanvallen wordt door de meeste scholen uitbesteed aan de (hostings-)provider. Hiervoor moeten echter duidelijke afspraken met de provider gemaakt worden, die terug te vinden zijn in onder ‘Welke afspraken maak ik met mijn (hosting-)provider?’.

Indien je provider geen of onvoldoende mogelijkheden heeft om (D)DoS-aanvallen te mitigeren, dan zijn er bepaalde acties die een technische beheerder op school zelf kan uitvoeren of elders kan uitbesteden. Meer informatie over de verschillende manieren om (D)DoS-aanvallen te mitigeren is terug te vinden in hoofdstuk 3.

Aanpak - Welke afspraken maak ik met mijn (hosting-)provider?

Een provider betekent in deze context de netwerk-provider die jouw systemen internet-connectiviteit biedt. Indien jouw systemen elders bij een hosting-provider zijn ondergebracht, dan wordt de hosting-provider bedoeld. Voor een internetverbinding en voor het gebruik van applicaties maakt iedere school gebruik van een provider en/of hosting-provider. Goede afspraken en een duidelijk contract met deze (hostings-)provider zijn dan ook essentieel.

Bij sommige providers is het mogelijk om op een operationeel niveau werkafspraken te maken over hoe te handelen op het moment van een (D)DoS-aanval. Providers beschikken vaak over strikte procedures en over krachtige routers waardoor ze snel en adequaat kunnen optreden. Dit is bijvoorbeeld van belang wanneer er op school een digitale toets gepland staat. Voor dit soort momenten kan je dan met jouw provider afspraken maken voor bijvoorbeeld extra monitoring.

Ondanks dat de meeste providers beschikking hebben over middelen om jou te helpen bij calamiteiten, betekent dat niet dat alle providers die mogelijkheid bieden. Wanneer je een keuze moet maken voor een bepaalde (hosting-)provider, is het raadzaam om na te gaan of de provider op het moment van calamiteiten daadwerkelijk kan helpen. Ga daarom altijd na of jouw provider ondersteuning kan bieden om een (D)DoS-aanval te stoppen of te beperken. De volgende lijst kan je helpen om voor jouw school/scholen de juiste afspraken met een provider te maken:

  • Biedt de provider 24/7 of 8/5 anti-(D)DoS-bescherming?
  • Monitort en logt de provider (pro)actief om aanvallen te herkennen en te mitigeren? Hoe en waar worden deze logs opgeslagen?
  • Worden er periodieke rapportages over bandbreedte verbruik verstrekt?
  • Is het mogelijk om logs en bewijsmateriaal op te vragen na een (D)DoS-aanval?
  • Neemt de provider bij constatering van (D)DoS-aanvallen actief contact op met contactpersoon van de school?
  • Heeft de provider een eigen professionele servicedesk waar systeembeheer van de school direct rechtstreeks contact mee kan opnemen (dus zonder tussenpersoon)?
  • Wat zijn de hersteltijden (kwestie van een paar minuten en niet van een uur) voordat de (D)DoS-aanval wordt gemitigeerd?
  • Blijft er een bruikbare internetverbinding over als er anti-(D)DoS-maatregelen worden ingezet? Is er sprake van blokkade van legitieme websitebezoekers?
  • Tegen welke type aanvallen beschermt de provider? (Minimaal bescherming tegen volume-aanvallen is aan te raden).
  • Blijft het omgeleide verkeer in Nederland/Europa in verband met Europese privacywet- en regelgeving?
  • Is er een maximum aan aantallen (D)DoS-aanvallen per dag/week of qua intensiteit/grootte en wat gebeurt er als mijn school hier overheen gaat?
  • Heeft de provider speciale aanbiedingen (educatieve kortingen) voor scholen?
  • Wat is het vaste bedrag en wat zijn extra kosten? Worden data overschotten gefactureerd, en zoja, in welke mate?
  • Is er een SLA (Service Level Agreement) waarin de bovenstaande afspraken beschreven staan?

Aanpak - Hoe handel ik incidenten af? Responsplan

Een goede voorbereiding is het halve werk. Met een duidelijk responsplan weet iedereen wat zijn of haar taak is en welke stappen hieronder vallen. Een (D)DoS-responsplan is meestal onderdeel van het gewone crisisplan, maar kan ook onderdeel of aanvulling zijn op de bijsluiter (D)DoS en heeft de onderstaande onderdelen.

De structuur van het Responsplan kan als onderstaand worden opgestelt:

  • Vóór (D)DoS-aanvallen:

    • Bepaal wanneer je iets een incident vindt en zorg voor bijbehorende actieplannen. Denk hierbij aan de volgende vraagstukken:  

      • Hoelang wacht je tot je actie onderneemt (enkele minuten of enkele uren)?

      • Heb je een incident als het internet traag is of pas als het niet meer werkt?

      • Heb je een incident als slechts een gedeelte van de site of de gehele website ontoegankelijk is?

      • Welke type aanvallen vallen onder welke incident categorie?

    • Stel een team samen (op basis van beschikbaarheid, kennis en vaardigheden). Zorg dat iedereen weet wat zijn rol is, weten wanneer ze in actie moeten komen, zijn ze getraind en klaar om hun rol uit te voeren.  

    • Maak een lijst van interne contacten en externe contacten (internet provider).

    • Creëer een overzicht van netwerk/infrastructuur, zodat je bij een aanval sneller kan achterhalen waar het probleem zit.

    • Indien logging en monitoring in eigen beheer is, zorg dan voor een overzicht van je basisgedrag ‘normaal’ verkeer.

    • Regel je incidentenregistratie (meer informatie hierover is te vinden bij het onderdeel beveiligingsincidenten en datalekken van de Aanpak IBP).

    • Neem in je beleid/bijsluiter op welke maatregelen je neemt tegen de aanvaller(s).

    • Maak plannen voor interne en externe communicatie.

    • Zorg voor een back-up plan/ alternatieven om het onderwijs door te laten gaan. Hiervoor kan bijvoorbeeld gekozen worden voor fysiek/offline leermateriaal, een back-up lijn (apart IP-adres) voor examens, et cetera. Bedenk voor het afnemen van een digitale toets of deze in geval van een (D)DoS-aanval uitgesteld kan worden, of dat dit ook offline of op papier kan.

    • Bewaar al je noodplannen, -lijstjes, etc. ook in een offline variant zodat je er ook nog bij kan wanneer de internetverbinding plat ligt.

  • Tijdens een (D)DoS-aanval:

    • Stel eerst vast wat voor incident het is (is het een wel of geen (D)DoS-aanval?).

    • Coördineren van mitigatie, oplossing en herstel.

    • Tijdige communicatie met provider, management, leerlingen (en ouders), medewerkers en politie.

  • Na een (D)DoS-aanval:

    • Verzamelen van logs en bewijsmateriaal (indien afgesproken via de provider).

    • Evaluatie en eventuele verbetering van het responsplan.

  • Continuïteit:

    • Monitoren van trends van bedreigingen (indien in eigen beheer).

    • Monitoren trends in verkeer (indien in eigen beheer).

    • Test DDoS-responsplan.

 

Tip

Om je onderwijs door te kunnen laten gaan, zou je voor de korte termijn gebruik kunnen maken van een back-uplijn, bijvoorbeeld voor de digitale examens. Hierbij is het van belang dat deze back-uplijn alleen door afgesloten stations gebruikt wordt (dus niet door andere devices) voor de tijdkritische zaken, opdat het IP van de lijn niet kan uitlekken. Sta in de centrale firewall alleen toegang tot de systemen toe waar bijv. de toetsen gehouden worden.​

Aanpak - Incidentenregistratie

Het bijhouden en monitoren van incidenten is een belangrijk meetinstrument om een actueel en representatief overzicht te creëren rondom digitale veiligheid binnen de school. Sinds 1 augustus 2015 is het onderwijs verplicht om zorg te dragen voor veiligheid op school. Digitale veiligheid valt ook onder deze wet en daarom is ook het bijhouden van digitale incidenten van belang. Door de digitale incidenten in kaart te brengen ontstaat er een duidelijk beeld van de trends en doelwitten, waardoor de juiste maatregelen getroffen kunnen worden. Ook kan incidentenregistratie in sommige gevallen helpen om de dader(s) van een incident te achterhalen.

De Algemene Verordening Gegevensbescherming (AVG) eist tevens dat in het kader van datalekken alle (digitale) beveiligingsincidenten moeten worden geregistreerd. Het registreren van digitale incidenten valt hier dus ook onder.

Meer informatie over het opzetten van incidentenregistratie rondom sociale veiligheid is terug te vinden op de website: https://www.schoolenveiligheid.nl/po-vo/kennisbank/meten-is-weten-2/

Aanpak - Aangifte doen of melding maken bij de politie?

Wanneer je te maken krijgt met een (D)DoS-aanval is de kans groot dat hierbij leerlingen betrokken zijn. Een (D)DoS-aanval is een strafbaar feit. Hoewel er vaak sprake is van experimenteergedrag of kattekwaad en daarom de stap naar politie groot lijkt, wordt toch aangeraden om altijd contact op te nemen met de politie. Benader hiervoor de vaste contactpersoon voor je school bij de politie (meestal de wijkagent). In overleg kan dan gekeken worden wat een passende vervolgactie is. Afhankelijk van de situatie kan gekozen worden voor een goed gesprek, melding of aangifte.

Aangiftes kunnen voor de politie de aanleiding zijn om een onderzoek te starten en op deze wijze de daders te achterhalen. Aangifte kan daarnaast ook noodzakelijk zijn voor het eisen van een schadevergoeding. Naast aangifte kan er ook melding gedaan worden. Met een melding voorzie je de politie van informatie die belangrijk kan zijn bij het verkrijgen van inzicht in dit soort fenomenen. Deze informatie is weer input voor het geven van advies en voorlichten aan scholen en leerlingen. Aangiftes en meldingen kunnen zo helpen anderen te behoeden voor (D)DoS-aanvallen.

Je kunt als organisatie aangifte doen. Zorg ervoor dat degene die namens de school aangifte doet, daartoe gemachtigd is. Het schoolbestuur kan een machtiging om namens de school aangifte te doen verstrekken. Een (D)DoS-aanval is technisch complex. Je kunt daarom aan de wijkagent vragen of er een digitaal expert bij betrokken dient te worden.

Maak in het kader van schoolveiligheid met de contactpersoon van politie afspraken over hoe jullie met dergelijke digitale inbreuken en overlast omgaan en leg deze vast in het schoolveiligheidsbeleid en bijbehorende bijsluiter. Communiceer deze richtlijnen ook in bijvoorbeeld de schoolgids en het schoolreglement. Door gezamenlijk vroegtijdig te signaleren en in te grijpen kan de schade worden beperkt, passende interventies worden gekozen en herhaling worden voorkomen.

Meer informatie over contact met de politie vind je op https://www.politie.nl/contact

# Preventie

Een belangrijk onderdeel van de huidige wet- en regelgeving is de bewustwording rondom informatiebeveiliging en privacy (IBP). De uitvoering hiervan ligt over het algemeen bij de ict-coördinator. Door medewerkers een duidelijke voorlichting te geven op het gebied van IBP kunnen veel problemen voorkomen worden. Je stelt medewerkers op deze manier ook beter in staat om leerlingen goed te begeleiden en bewust te maken van ‘gevaren’, zodat ze op het juiste digitale pad blijven.

Het voorlichten van leerlingen op het gebied van IBP is ook van groot belang. Maak leerlingen niet alleen mediawijs, maar wijs ze ook op de gevaren en consequenties van bepaald gedrag. Het duidelijk maken van eventuele consequenties en het bieden van legale alternatieven op het gebied van ict kan er voor zorgen dat meer leerlingen hun technische creativiteit voortaan op een goede manier inzetten.

Preventie - Hoe creëer ik bewustwording bij medewerkers?

Voor preventie is een minimale kennis rondom digitale veiligheid bij medewerkers van belang. Tevens is het noodzakelijk om kennis te hebben op het gebied van IBP. De meeste beveiligingsincidenten ontstaan door menselijke fouten of onkunde. Daarom is het van belang om het bewustzijn van medewerkers te vergroten en aan te scherpen. In de Aanpak IBP (PO & VO) zijn hiervoor handige hulpmiddelen en aanvullende informatie terug te vinden.

Naast deze algemene bewustwording rondom digitale veiligheid, is het ook van belang medewerkers attent te maken op de de risico’s en strafbaarheid van hacken. Veel hackpogingen op het schoolnetwerk worden namelijk uitgevoerd door eigen leerlingen, waarbij het vaak begint als ‘kattenkwaad’. Pas als medewerkers een beter inzicht hebben om welk soort ‘kattenkwaad’ het hier gaat, waarom leerlingen dit doen en wat de gevolgen hiervan kunnen zijn, dan zijn ze beter in staat om leerlingen hier de juiste voorlichting over te geven. Zo kan dit soort ‘kattenkwaad’ eerder gesignaleerd worden en kunnen leerlingen beter begeleid worden om op het juiste digitale pad te blijven.

Tips

  • Creëer zowel bij medewerkers als leerlingen bewustwording omtrent de risico’s en strafbaarheid van hacken. Het gebruik van voorbeelden helpt medewerkers om te begrijpen hoe groot de impact daarvan kan zijn.
  • Stel een gedragscode voor digitaal gedrag op, waarin consequenties van hacken (voor medewerkers en voor leerlingen) benoemd worden. Een voorbeeld gedragscode staat in de Aanpak IBP.
  • Zorg voor een responsible disclosure beleid. Voor zowel de school als voor de melder schept dit duidelijkheid in de verantwoordelijkheden die beide partijen hebben wanneer er een kwetsbaarheid gevonden wordt. Het aanbieden van een beloning kan leerlingen mogelijk (extra) motiveren om een kwetsbaarheid te melden. Disclosure beleid is te vinden onderaan de pagina over beveiligingsincidenten en datalekken in de Aanpak IBP (PO & VO).

Preventie - Hoe creëer ik bewustwording bij leerlingen?

Voorlichting

Met voorlichting en bewustwording campagnes voor leerlingen proberen we leerlingen van het ‘slechte’ digitale pad te houden. Het uitvoeren van een (D)DoS-aanval is nog niet echt hacken, maar het is mogelijkerwijs wel de voorloper op hacken. Voor het uitvoeren van een (D)DoS-aanval is echte kennis van hacken nog niet nodig, maar het kan wel evenveel schade veroorzaken als andere hack-activiteiten. Uit onderzoek blijkt dat 61% procent van de hackers al voor hun 16e jaar in aanraking is gekomen met hacken.

Het uitvoeren van een (D)DoS-aanval is strafbaar volgens de wet, met een maximale celstraf van 6 jaar. In de wet (artikel 138b Wetboek van Strafrecht) staat het "DoS-artikel" en dat artikel noemt één jaar cel (of maximaal 19.000 euro boete) bij het plegen van dit misdrijf en bij grootschalige aanvallen wordt zelfs het veel strengere artikel 161sexies Wetboek van Strafrecht ingezet.

Bewustwording van de gevolgen van het uitvoeren van een (D)DoS-aanval en het hebben van een strafblad is belangrijk voor leerlingen. Zo krijgt je bijvoorbeeld geen baan bij de politie als je een strafblad hebt en is een baan als ethisch hacker niet waarschijnlijk. Naar verwachting is een ‘(D)DoS’er’ ‘vaak nog op het goede digitale pad te krijgen’. Binnen de voorlichting in het curriculum van jouw school is het verstandig om hacken breder op te pakken, omdat een leerling in korte tijd kan doorgroeien van een (D)DoS-aanvaller naar hacker. Tevens is het goed om de leerlingen die hierin geïnteresseerd zijn in beeld te krijgen.

Alternatieven en toekomstperspectief

In het kader van ‘de hackende leerling’, zien we een onderverdeling van leerlingen in 3 categorieën: 90% met standaard ict-vaardigheden, 9% met bovengemiddelde ict-vaardigheden en 1% met vergevorderde ict-vaardigheden. Vooral die 1% komt vaak in beeld bij de politie, nadat ze bijvoorbeeld indruk wilden maken met het uitvoeren van een (D)DoS-aanval of hacken.

Naar verwachting is een ‘(D)DoS’-er’ vaak nog op het goede pad te krijgen. Echter, in een korte tijd kan een leerling doorgroeien van een (D)DoS-er naar een hacker. Door leerlingen voor te lichten over de risico’s rondom het uitvoeren van een (D)DoS-aanval en hacken, kan bewustwording gecreëerd worden over de gevolgen van dit ‘grapje’. Tevens is het goed om de leerlingen, die hierin geïnteresseerd zijn, op de radar te krijgen. Op deze manier kunnen ze beter begeleid worden om op het juiste digitale pad te blijven.

Met de juiste voorlichting aan docenten over deze categorieën, zullen de leerlingen die onder de 90% en de 9% vallen met begeleiding mogelijk minder snel het verkeerde pad opgaan. Door te wijzen op de strafbaarheid en tevens het bieden van legale alternatieven, kan de 1% mogelijk hun creativiteit op het gebied van ict op een goede manier ontplooien. Hierdoor komen deze leerlingen minder snel in contact met de politie en hebben ze tegelijk de mogelijkheid om zich voor te bereiden op een toekomst als bv. ethisch hacker.

Tips

  • Creëer zowel bij medewerkers als leerlingen bewustwording omtrent de risico’s en strafbaarheid van hacken. Veel jongeren weten niet dat een (D)DoS-aanval strafbaar is. Het kan dus gevolgen hebben voor hun toekomst als experimenteren te ver gaat. Maak daarom het onderwerp bespreekbaar in de klas. Gebruik bijvoorbeeld deze filmpjes als gespreksstarter:

          Simon en schoolsite hacken

          Bucketboys en hacken

          Alert Online: wat moet je doen om veilig online te zijn?

  • Maak gebruik van de 25 hulpvragen over informatiebeveiliging als hulpmiddel om het gesprek over informatiebeveiliging in de klas te starten.

  • Lees samen met de leerlingen het gratis e-book "What the hack" van Maria Genova over hackende leerlingen. Achteraan dit boek zit ook interatief materiaal en een link naar de game Hackshield.

  • Verwijs leerlingen voor meer informatie ook naar​ www.vraaghetdepoltie.nl. Zij kunnen daar terecht voor vragen en advies en chatten met politieagenten. De informatie op deze site kun je ook gebruiken in de les. Verwijzen naar voorbeelden van aangehouden leerlingen helpt leerlingen begrijpen wat de gevolgen kunnen zijn van het uitvoeren van (D)DoS-aanvallen.
  • Stel een gedragscode voor digitaal gedrag op, waarin consequenties van hacken benoemd worden. Een voorbeeld voor een gedragscode vind je in de tools van de Aanpak IBP.
  • Zorg voor een responsible disclosure beleid. Voor zowel de school als voor de melder schept dit beleid duidelijkheid in de verantwoordelijkheden die beide partijen hebben wanneer er een kwetsbaarheid gevonden wordt. Het aanbieden van een beloning kan leerlingen mogelijk (extra) motiveren om een kwetsbaarheid te melden. Disclosure beleid is te vinden in de Aanpak IBP (PO & VO).
  • Leg leerlingen uit hoe je zelf op school omgaat met informatiebeveiliging en privacy. Je kunt hiervoor de flyer gebruiken die door Kennisnet is ontwikkeld.
  • Bied binnen de school ict-opleidingen aan voor de leerlingen. Momenteel is informatica in de bovenbouw geen verplicht vak en op veel scholen wordt dit vak zelfs niet (meer) gegeven. Dit terwijl een vak als informatica leerlingen de basisvaardigheden biedt voor hun toekomstige carrière in de ict.
  • Bied ethisch verantwoorde uitdagingen aan vaardige leerlingen aan. Denk hierbij aan additionele trainingen, het oprichten van een ict-klasje, contacten leggen met ethische hackers (een juist rolmodel bieden), competities legaal hacken, kennismaking met hacklabs en met geschikte ict-security opleidingen. Met deze middelen komen leerlingen eerder in het juiste digitale circuit en hebben ze tegelijk de mogelijkheid om al een naam op te bouwen.

Hoofdstuk 3 “Wat is de techniek hierachter?”

Binnen de school (of scholen) ben jij (bijvoorbeeld als technisch beheerder) verantwoordelijk voor de technische zaken met betrekking tot ict. Dit hoofdstuk geeft inzicht in de technische vraagstukken waarbij stilgestaan moet worden. Deze vraagstukken kunnen intern opgepakt worden door een technisch beheerder (security officer), maar ze kunnen ook houvast geven  als technisch beheer is uitbesteed aan een externe partij.

Indien je hebt besloten om jouw (D)DoS-mitigatie uit te besteden, dan is het belangrijk om met jouw (hosting-)provider duidelijke afspraken te maken wat de provider doet en wat je zelf nog moet doen.

In principe is dit hoofdstuk bedoeld voor scholen, die deze technische aanpak (deels) in eigen beheer nemen. Daarnaast kan dit hoofdstuk gebruikt worden als achtergrondinformatie.

# Herkennen

Je systemen liggen plat, je netwerk is traag, iedereen belt je met vragen…. Wat nu? Voor de mensen die het hebben meegemaakt zal dit waarschijnlijk wel bekend klinken. Hoe kom je er nou achter of hier wel of geen (D)DoS-aanval achter zit?

Als technisch beheerder ligt bij jou de taak om te achterhalen of bij een traag netwerk of niet werkende systemen sprake is van een (D)DoS-aanval. Als er inderdaad een (D)DoS-aanval wordt uitgevoerd, dan is het van belang om te weten of deze aanval op jouw eigen systemen (intern) of of systemen van bijvoorbeeld leveranciers (extern) gericht is. In het kader van strafbaarheid is het ook van belang te controleren of de aanval bewust is uitgevoerd. Daarnaast is het handig iets te weten over de verschillende type (D)DoS-aanvallen.

 

Herkennen - Interne of externe aanval

Bij een interne aanval, dus een aanval op één van jouw eigen systemen (zoals je netwerk of je internetverbinding) zijn er een aantal stappen om vast te stellen of er inderdaad een (D)DoS-aanval plaatsvindt. Wanneer je systemen niet (naar behoren) werken, kunnen er namelijk ook andere oorzaken zijn dan (D)DoS-aanvallen. Stel daarom de volgende vragen:

  • Doet je (internet / netwerk) verbinding het nog?

    • Test niet alleen over wifi, test ook het bedrade netwerk.

    • Wanneer het netwerk gezoneerd is in verschillende netwerken (bijv. studenten, administratie, beheer, etc), test dan of het probleem overal gelijk is.

  • Ja; werkt je router nog?

    • Geen afwijkende ledjes die knipperen? Kabels er allemaal nog in?

  • Ja; Functioneren de switches / accesspoints nog naar behoren?

    • Geen afwijkende ledjes die knipperen? Kabels er nog in? Geen netwerkloop gemaakt met verkeerd aangesloten bekabeling?

  • Ja; Neem eventueel contact op met de netwerkleverancier wanneer deze ingehuurd wordt.

  • Ja; neem contact op met je provider. Vaak is het voor een provider gemakkelijk te achterhalen waarom jouw systeem platligt. Zij kunnen vervolgens meedenken in de te nemen vervolgstappen.

Bij een externe aanval, dus het platleggen van een (online) applicatie waar jouw school gebruik van maakt, kan er het beste contact opgenomen worden met de beheerder (leverancier) van deze applicatie. Vervolgens kunnen zij de benodigde vervolgstappen nemen.

Herkennen - Bewuste aanval?

Ben je bewust of onbewust een doelwit?  Dat is een vraag die soms moeilijk te beantwoorden is. Je zult dan moeten kijken naar alle kenmerken van de aanval, bijvoorbeeld op basis van je monitoring en logging van je systemen. Het antwoord is belangrijk, want wanneer je bewust een doel bent dan wordt alles anders, dan is er sprake van een strafbaar feit. Een persoon of een groep personen heeft er voor gekozen tijd en mogelijk geld te investeren om je dienst plat te leggen. Het gaat hier dus om een bewuste actie. In zo’n geval is het verstandig om het doen van aangifte te overwegen. Ongeacht de leeftijd, het doel van de persoon of dat de actie wel of niet doordacht is, gaat het hier om een misdrijf. In de wet (artikel 138b Wetboek van Strafrecht) staat het "DoS-artikel" en dat artikel noemt één jaar cel (of maximaal 19.000 euro boete) bij het plegen van dit misdrijf en bij grootschalige aanvallen wordt zelfs het veel strengere artikel 161sexies Wetboek van Strafrecht ingezet.

Afhankelijk van het type infrastructuur wat je gebruikt kunt je achterhalen of je een bewust doelwit bent:

  • Wanneer je servers in een eigen datacenter staan en eigen public IP nummers hebben, dan is de aanval vrijwel zeker bewust tegen jou gericht.  
  • Maak je gebruik van een Public Cloud infrastructuur dan kun je niet 100% zeker zeggen dat dan de aanval tegen jou is gericht. Hij kan dan ook gericht zijn op een systeem van iemand anders die van dezelfde infrastructuur gebruik maakt.

Herkennen - Type (D)DoS-aanvallen

(D)DoS-aanvallen leggen je netwerk plat, dat wil zeggen dat er geen communicatie, geen data uitwisseling meer mogelijk is. Netwerkcommunicatie vindt plaats op verschillende niveau’s. Dit worden lagen genoemd en zijn vastgelegd in het OSI-model. Niet elke (D)DoS-aanval is dan ook hetzelfde, maar is onder andere afhankelijk van de laag waarop de aanval plaatsvindt.

Er bestaan drie typen (D)DoS-aanvallen.

  • Applicatie laag aanval (laag 7 van OSI model)

  • Protocol laag aanval (laag 3 en 4 van OSI model)

  • Volume (D)DoS-aanval

Deze afbeelding geeft aan welke verschillende lagen aangevallen kunnen worden en wat de meest voorkomende (D)DoS-aanvallen hierbinnen zijn. Hieronder worden deze type aanvallen met voorbeelden beschreven en wordt aangegeven hoe deze (D)DoS-aanvallen te herkennen zijn.

Applicatie laag aanval
Een aanval op de applicatie laag (laag 7 van het OSI model) maakt gebruik van een (soms onbedoelde) functionaliteit in de software/website/applicatie zelf.

Voorbeeld: een webshop heeft een zoekmenu waarin je met het * alle mogelijke producten kan opvragen. Hierdoor kan het antwoord heel groot zijn. Eén gebruiker is geen probleem, maar bij een botnet van 1000 apparaten die tegelijk dit verzoek doen, dan zijn de antwoorden (zonder maatregelen als caching) samen 1000x zo groot. Herhaal dat verzoek een paar keer en dan heb je een systeem wat niet snel meer reageert. Andere mogelijkheden tot misbruik zijn het opvragen van plaatjes, of het versturen van random urls naar de server, willekeurige zoekopdrachten et cetera.

De uitdaging hier is om het legitieme verkeer te onderscheiden van een hackpoging. Het loggen en analyseren van de logs (logging en monitoring) is hier een speerpunt. Een afwijkend patroon (anomalie) is een goede indicatie dat er iets aan de hand is.

Protocol laag aanval (netwerk)
Een applicatie draait altijd op een (virtuele) server die de applicatie ontsluit via het internet door middel van een operating system en netwerkprotocollen. We praten hier over laag 3-4 van het OSI model. Hackers hebben in de loop van de jaren kwetsbaarheden ontdekt in de wijze waarop deze protocollen worden toegepast. Met een gerichte aanval kunnen ze daardoor het operating system of de netwerkprotocollen overbelasten. Synflood, ping of death, NTP of DNS aanvallen om er een paar te noemen.

(D)DoS-aanvallen op deze laag zijn de aanvallen waar je in het nieuws regelmatig iets over hoort. Aanvallen op dit niveau zijn vrij lastig te bestrijden; het gaat hier vaak om wie het meeste data (bits) kan leveren. Jezelf beschermen tegen dit soort aanvallen kan door middel van scrubbing centers. Scrubbing centers zijn voor deze aanval een effectief middel, maar de vraag is altijd of het opweegt tegen de kosten.


Volume (D)DoS-aanval

Dit type aanval is gericht op het volgooien van de internetverbinding zodat normale verzoeken er niet meer bij passen. ICMP floods, UDP floods, elke methode voor het versturen van een hoeveelheid packages. Hiervoor zijn veel tools beschikbaar zoals LOIC, XOIC, NTP en DNS -amplificatie aanvallen.

Voorbeeld: Er wordt een aanval gedaan tegen je infrastructuur met 1 Gbit. Als jouw lijn maar 500 Mbit is, dan is de aanval ongeveer 2 x zoveel dat jouw lijn aan kan. Je krijgt dus “file” op je internet lijn. Omdat aanvallen steeds groter worden, wordt het steeds moeilijker om zelf een betaalbare bescherming aan te schaffen.

 

# Aanpak

Op dit moment zijn volume (D)DoS-aanvallen in het onderwijs de meest voorkomende. In het vo heeft 2 op de 5 scholen daar last van. (D)DoS-aanvallen zijn goedkoop en zeer effectief om een infrastructuur aan te vallen. Een volume (D)DoS-aanval kan alleen door een provider worden afgeslagen. Maak dus met de provider duidelijke afspraken hierover (link eisen provider). Bij het afsluiten van nieuwe contracten of het verlengen van een bestaande contract is het van belang om af te spreken op welke manier, hoe vaak en wanneer de provider volume (D)DoS-aanvallen afslaat voor jouw organisatie.

Voor de andere twee typen (D)DoS-aanvallen kun je een applicatie firewall aanschaffen die je zelf beheert of die je laat beheren. Deze bescherming is alleen nodig als je zelf  web-, mail- of andere diensten via jouw infrastructuur aanbiedt. Monitoring en logging kunnen je helpen verdere stappen te nemen.

 

Aanpak - Hoe ziet de infrastructuur van mijn school/scholen er uit?

Maak een overzicht van jouw infrastructuur, zodat het voor jou duidelijk is welke hardware en software aanwezig zijn en welke gegevens hier uit te lezen zijn. Denk hierbij aan de verbinding, router, firewall, switch en dergelijke. In het overzicht geef je aan wie het onderdeel beheert en monitort en op welke manier. Tevens inventariseer je welke middelen je hebt om eventuele (D)DoS-aanvallen af te slaan.

Om een (D)DoS-aanval te kunnen waarnemen, is het noodzakelijk dat er een basisgedrag is vastgelegd van jou systemen en netwerkomgeving. Het basisgedrag is een verzameling van gegevens die een beeld geven van jouw systemen in een normale situatie. Kijk voor meer informatie over het vastleggen van deze gegevens bij Monitoring en logging systeemgegevens.

Gegevens die nodig zijn om het basisgedrag van jouw systemen vast te leggen:

  • Het gemiddelde gebruik van de bandbreedte van de internet-verbinding.
  • De gemiddelde pakketgrootte van het dataverkeer.
  • Het gemiddelde gebruik van geheugen.
  • Het gemiddelde gebruik van processoren.
  • Het gemiddelde van lees- en schrijfacties op een harde schijf.
  • Het gemiddelde van het aantal bezoekers/gebruikers.

Deze gegevens dienen als uitgangspunten om afwijkingen te kunnen herkennen. Periodiek moet het basisgedrag opnieuw worden bekeken en vastgelegd zodat er rekening wordt gehouden met eventuele groei van het gebruik.

Wanneer jouw systemen zijn ondergebracht bij een hosting-provider, is het niet altijd mogelijk om te beschikken over alle gegevens. Het is daarom raadzaam om na te gaan of jouw hosting-provider kan helpen om inzicht te geven in bepaalde gegevens, zoals bijvoorbeeld het gebruik van bandbreedte of gemiddelde pakketgrootte.

Een ander belangrijk punt is het in kaart brengen van alle software en digitale middelen die je bij leveranciers hebt ingekocht. Ook deze online diensten kunnen een doelwit zijn voor (D)DoS-aanvallen en de verantwoordelijkheid en beveiliging van deze diensten ligt niet volledig bij de school. Inventariseer daarom vooraf welke beveiligingsmaatregelen tegen (D)DoS-aanvallen de leveranciers nemen voor hun softwarepakketten.

 

Aanpak - Monitoren en logging van systeemgegevens

Door systeemgegevens te monitoren en te loggen krijg je een beeld van het standaard verkeer in jouw systemen. Afwijkingen in dit verkeer vallen hierdoor snel op, waardoor incidenten sneller opgepakt en opgelost kunnen worden. Verder kan logging in sommige gevallen bijdragen aan het identificeren van de dader(s).

Wil je het monitoren en loggen van systeemgegevens binnen eigen beheer brengen/houden? In hoofdstuk 4 vandit bestand van de NCSC is meer informatie te vinden over het loggen en monitoren van systeemgegevens om (D)DoS-aanvallen te kunnen detecteren. Het bestand van IBD gemeenten geeft aanvullende informatie over de verschillende soorten logging, opslag van de gegevens en bewaartermijnen. Voor monitoring tools kan je op internet zoeken naar 'snmp monitoring tools'.

Vaak kan het monitoren en loggen van systeemgegevens worden uitbesteed aan de (hosting-)provider. Hierover moeten echter wel goede afspraken gemaakt worden, met name over het opslaan en bewaren van persoonsgegevens. Bekijk voor meer informatie over privacy regels rondom monitoring de Aanpak IBP. In dit document vind je meer over monitoren van leerlingen:

Open bestand Informatie over meekijken op devices van leerlingen (monitoring)

# Preventie

Voor de meest recente informatie rondom (D)DoS-aanvallen en de mogelijke maatregelen hiertegen, raden wij aan om de site van het Nationaal Cyber Security Centrum (NCSC) in de gaten te houden. Ook dit bestand met technische maatregelen kan als aanvullend materiaal gebruikt worden.

Preventie - Typen (D)DoS-bescherming

CDN

Content Delivery Network (CDN) kun je bij verschillende providers afnemen. Het doel van een CDN is om bestanden die niet tot nauwelijks wijzigen (static content) niet vanaf je eigen backend servers te serveren, maar vanaf een netwerk dicht bij de gebruiker. Denk hieraan bijvoorbeeld een plaatje. Een goed CDN netwerk controleert het source IP van de aanvrager. Als deze vanuit Amerika komt dan wordt het plaatje indien deze aanwezig is vanuit een CDN edge server in Amerika aangeboden. Mocht het plaatje niet bestaan dan download de CDN server deze eerst. Op deze manier wordt de webserver minder belast en kan static content sneller worden aangeboden.

Door gebruik te maken van een CDN krijg je dus minder verzoeken/verkeer en belast je dus minder je eigen server. Maar dit is niet 100% waterdicht. Er zijn mogelijkheden om een CDN voor de gek te houden. Waardoor de verzoeken alsnog bij de server aankomt en deze dus nog steeds overbelast kan raken.

Rate limiting

Bij Rate limiting wordt er gekeken naar het aantal packets dat verstuurd wordt per IP-nummer. Je kunt hier verschillende regels op toepassen om je backend server te beschermen. Verschillende appliances en software bieden diverse mogelijkheden. Denk aan een captcha scherm (zoals weergegeven in de afbeelding) die ingevuld moet worden als er vanaf 1 IP-nummer meer dan 1000 connecties binnen een minuut komen.

Ook Rate limiting is niet 100% waterdicht. Als de hacker kan achterhalen wanneer een rate limiting policy wordt uitgevoerd dan kan er gekozen worden om onder dit limiet te blijven en meer bots in te zetten. Waardoor alsnog een (D)DoS-aanval uitgevoerd kan worden.

Scrubbing Center

Een scrubbing center, ook wel een wasstraat genoemd, kan worden ingezet om meer volume af te vangen indien een (D)DoS-aanval wordt uitgevoerd. Zodra een aanval wordt gedetecteerd, wordt al het verkeer omgeleid naar de wasstraat. Hier wordt het schadelijke verkeer eruit gefilterd, waarna het legitieme verkeer alsnog veilig kan aankomen.

Niet elk scrubbing center is gelijk. NaWas doet alleen laag 3 en 4, terwijl Incapsula of cloudflare ook laag 7 doen. Per geval of per netwerk moet dus gekeken worden in hoeverre je het wilt beschermen. Hoe meer lagen je wilt beschermen, hoe duurder het wordt.

Nationale Wasstraat (NaWas) nbip

De Nationale anti-(D)DoS Wasstraat (kortweg NaWas) biedt on demand beveiliging tegen (D)DoS-aanvallen. NaWas is bedoeld voor middelgrote, maar ook voor kleinere internet providers voor wie het zelf kopen en onderhouden van anti-(D)DoS apparatuur onhaalbaar of niet rendabel is. De NaWas is als een verzekering: hopelijk is het niet nodig, maar als er ellende is kan er beroep op worden gedaan. Zonder grote investeringen. Dit betekent dat je je eigen BGP Nummer (vergelijkbaar met DNS-nummer) moet hebben wil je gebruik kunnen maken van de NaWas. Dit is voor veel organisatie niet van toepassing.

Bescherming IP-nummer

Het internet werkt met IP-nummers en domeinnamen verwijzen naar deze IP-nummers. Vaak hebben organisaties meer diensten dan alleen een webserver. Al deze diensten krijgen hun eigen domeinnaam (DNS). Vervolgens zijn weer al deze domeinnamen aan een eigen IP-nummer gekoppeld. Veel diensten beschermen enkel het IP-nummer van een dienst en niet het gekoppelde IP-nummer van jouw organisatie. Dit betekent dat wanneer iemand jouw echte IP-nummer kan achterhalen, ze de aanval nog steeds kunnen uitvoeren.

Het kan zijn dat de website op een andere locatie wordt gehost dan je interne netwerk. Beide kunnen doelwit zijn voor een (D)DoS-aanval. Je kunt dit controleren door bijvoorbeeld de website http://www.watismijnip.nl/ te bezoeken. Deze geeft het IP-nummer weer waarmee je op internet bekend bent. Voor scholen is dit het IP-nummer wat aangevallen kan worden om lessen of beschikbaarheid van internet te verstoren. Beide moeten worden gecontroleerd en eventueel worden beschermd.

Indien je IP-nummer eigendom is van bijvoorbeeld Ziggo, Vodafone, T-mobile et cetera, dan kun je als klant zelf geen bescherming afnemen bij de NAWAS. Je bent van afhankelijk van de ISP (Internet Service Provider) om je te beschermen. Wel bestaan er diensten die je kunnen beschermen.

Website bescherming

Website bescherming bestaat niet alleen uit het beschermen tegen (D)DoS-aanvallen. Je website server zou namelijk ook in handen kunnen vallen van een hacker en misbruikt kunnen worden om andere aan te vallen of om informatie te stelen. Andere belangrijke beschermingsmethoden die overwogen moeten worden zijn de toegang bescherming (shell codes), Web application firewall (waf), login bescherming en bot bescherming.  Deze verzameling van producten of diensten kan ervoor zorgen dat je website optimaal beschermd is tegen SQL injectie, remote en local file inclusion et cetra.

Websites draaien op Laag 7 van het OSI-model. Deze kun je dus niet beschermen met een laag 3 / 4 oplossing. Je zult hier dus extra diensten voor moeten afnemen of moeten configureren. Denk aan CDN, rate limiting en scrubbing centrums. Dit kan een kostbare investering worden naarmate de hoeveelheid domeinen of IP-nummers toeneemt die je in gebruik hebt.

 

  • Het arrangement Denial-of-Service op school is gemaakt met Wikiwijs van Kennisnet. Wikiwijs is hét onderwijsplatform waar je leermiddelen zoekt, maakt en deelt.

    Auteur
    Stichting Kennisnet
    Laatst gewijzigd
    2022-12-01 18:28:50
    Licentie

    Dit lesmateriaal is gepubliceerd onder de Creative Commons Naamsvermelding 3.0 Nederlands licentie. Dit houdt in dat je onder de voorwaarde van naamsvermelding vrij bent om:

    • het werk te delen - te kopiëren, te verspreiden en door te geven via elk medium of bestandsformaat
    • het werk te bewerken - te remixen, te veranderen en afgeleide werken te maken
    • voor alle doeleinden, inclusief commerciële doeleinden.

    Meer informatie over de CC Naamsvermelding 3.0 Nederland licentie.

    Dit Wikiwijs-arrangement is ontwikkeld door Kennisnet in samenwerking met de politie, docenten en ict-coordinatoren uit het vo.

    Aanvullende informatie over dit lesmateriaal

    Van dit lesmateriaal is de volgende aanvullende informatie beschikbaar:

    Toelichting
    Samen er voor zorgen dat onderwijs altijd door kan blijven gaan.
    Eindgebruiker
    leraar
    Moeilijkheidsgraad
    gemiddeld
    Trefwoorden
    ddos, ddos-aanval, denial-of-service, dos
  • Gebruik
    Weergave
  • Wikiwijs is een dienst van