Redactie - 24 juli 2015

DDoS-protectie van Nederlandse bodem

Serverius bestaat alweer vijf jaar en heeft in die tijd een breed portfolio aan datacenterdiensten opgebouwd. Relatief nieuw is een ‘in eigen huis’, mede op basis van Huawei-scrubbing-hardware, ontwikkelde filteringtool, waarmee DDoS-aanvallen tegengehouden kunnen worden. Een belangrijke nieuwe toevoeging, die met name voor ISP’s en aanverwante partijen interessant is. Namelijk als nieuwe mogelijkheid voor een zelf te configureren DDoS-filterservice die zij weer aan hún gebruikers kunnen leveren.

Een breed scala aan datacenterdiensten, dáár gaat het tegenwoordig volgens Gijs van Gemert om. Van Gemert is manager bij Serverius, leverancier van zo’n waaier aan diensten vanuit twee datacenters in respectievelijk Dronten en Meppel. Het conventionele datacenter, in de vorm van een enorme zaal voorzien van stroom, koeling en carriers, is – zegt hij – aan het verdwijnen. “Je hebt in de grote steden natuurlijk nog wel een aantal van die hele grote datacenters die juist door de grote hoeveelheid carriers erg populair zijn, maar daar zijn steeds minder eindgebruikers met dataopslag te vinden. Bij Serverius is dat wel het geval, want wij hebben nu twee moderne datacenters die een stuk kleiner van opzet zijn en door de nieuwste technische ontwikkelingen en extra diensten een grote meerwaarde kunnen leveren. Wij sluiten goed aan bij de trend dat grote bedrijven steeds kleinere hoeveelheden hardware gebruiken met een hogere densiteit en met een bredere afname van andere diensten. Daarbij hebben we er bewust voor gekozen om in verband met betere connectiviteit juist buiten de randstad te gaan zitten. Dat alles betekent dat wij ons richting de klant breder en beter kunnen presenteren. Wij richten ons daarbij vooral op klanten buiten de EU. In Nederland weet men ons ook goed te vinden, maar 80 procent van onze klanten komt uit het buitenland. Het verschil waarop wij het winnen van de concurrent zit hem vaak net in die paar kleine extra’s die wij wel in huis hebben.”

DDoS-protectie

Een goed voorbeeld daarvan is de door Serverius zelf nieuw ontwikkelde DDoS-filtering. Een DDoS-aanval (Distributed Denial of Service) is een poging om door middel van overbelasting of anderszins een website, internetdienst of server uit de lucht te schieten. Van Gemert maakt als hij het over DDoS heeft graag een vergelijking met de opkomst en inburgering van het spamfilter in de beginjaren van het internet. “Dat dat noodzakelijk was vond men in het begin ook maar vreemd, want spam, dat was toch gewoon strafbaar? Nu heeft niemand het daar nog over en vindt iedereen het de gewoonste zaak van de wereld dat er altijd een spamfilter bij een mailbox zit.”

Het DDoS-product zoals het er nu staat, dat Serverius zelf heeft ontwikkeld op basis van ondermeer DDoS-hardware van Huawei, is volgens Van Gemert enig in zijn soort. “Er is niemand anders die dat nog op deze manier heeft gedaan. Onze klanten zijn met name ISP’s, partijen dus die hun eigen klanten van de nodige services voorzien en daarom, als het gaat om zoiets als DDoS-protectie, het liefst zelf aan de knoppen willen draaien. In tegenstelling tot wat veel leveranciers beweren, bestaat er op dat vlak ook geen ‘final scrubbing solution’, zoals ze dat noemen, want je moet alles afstemmen op applicatieniveau van de klant. Er zijn partijen die dat voor hun klanten proberen te doen, als managed service. Wij draaien het om. Wij bieden een toolbox waarin men zelf filters kan bouwen en beheren. Het is tegenwoordig namelijk vrijwel onmogelijk om een globaal filter te maken dat tegen elke aanval werkt. En er is er maar één die exact weet welke softwareapplicatie er bij de eindklant draait, en dat is de klant zelf. Daarom geloven wij, en dat is ook zoals Huawei er tegenaan kijkt, dat je een DDoS-filter voor de volle 100 procent moet afstellen op de online-applicatie die in de achtergrond draait. Een website is namelijk totaal iets anders dan een VoIP-applicatie, storageoplossing of een remote werkplektoepassing. De instellingen daarvoor moet je daarom aan de klant overlaten. Huawei heeft daar een oplossing voor ontwikkeld. Daar zit een hele mooie webinterface bij, maar die is te complex om de klant daar direct op te laten inloggen en is volledig op één administrator ingericht. Daarom hebben wij een vertaalslag gemaakt en die geïntegreerd in onze Serverius Netwerk Toolbox, waarin we ook al allerlei andere functionaliteit beschikbaar stellen aan onze klanten. Dat versterkt elkaar en maakt het naar mijn mening uniek.”

Nieuw verkoopmodel

Serverius verkoopt zijn DDoS-filtering aan eindgebruikers, maar met name aan ISP’s en andere partijen die het product aan hun klanten in een of andere vorm kunnen doorverkopen. Het hanteert daarbij een heel flexibel verkoopmodel, grotendeels gebaseerd op het ‘pay per use’-concept dat we uit de cloudwereld kennen. “Onze concurrenten beginnen bij duizend euro of meer, bij ons begint het bij 180 euro. Daarvoor krijg je het standaardpakket, waarmee je zelf al die instellingen kunt doen. Verder betaal je naar gebruik per uur. Dus als een bedrijf een aanval te verduren krijgt, kan het zelf beslissen: gaan we de boel nog verder beschermen en betalen we daar extra voor, of zetten we het IP-adres uit. Dat is heel iets anders dan het model: je wordt klant bij ons en betaalt een paar duizend euro per maand, ongeacht of je nu wel of geen DDoS-aanval te verduren hebt gekregen. Want negen van de tien keer hebben klanten dat helemaal niet nodig en is het weggegooid geld.”

Van Gemert legt kort uit hoe zijn DDoS-filtering in de praktijk werkt. Allereerst stem je de filtering eenmalig  af op de applicatie die bescherming behoeft. Daarna zet je hem in learning-mode en laat je hem een paar dagen draaien, zodat het filter weet wat normaal verkeer is. Vervolgens zet je hem aan en verlaag je de hoeveelheid false positives. Mocht het nu zo zijn dat je een aanval te verduren krijgt en er toch nog vuil verkeer doorheen glipt – iets wat volgens Van Gemert in de DDoS-wereld van tegenwoordig af en toe zal blijven voorkomen – dan kun je middels een uitgebreide rapportage zien hoe dat komt en wat je eraan kunt doen (andere drempelwaarden activeren, et cetera). Je kan real-time meekijken. “Al dit soort functionaliteit maakt ons DDoS-filter tot een krachtig instrument”, besluit Van Gemert, “waarmee een accessprovider bijvoorbeeld per bedrijfsklant een container kan aanmaken met instellingen en filters die specifiek zijn afgestemd op de applicatie van die klant. En er kunnen zo nodig meerdere worden aangemaakt. Zo kan hij heel makkelijk dingen segmenteren en ook per klant rapportages genereren als dat nodig is.”

[kader]

Serverius’ DDoS-oplossing in een notendop

Serverius DDoS-filtering biedt onder meer:

  • Door gebruik van vier Huawei NE40E-X8A-routers en Huawei AntiDDoS8080-scrubbing-hardware wordt de laagst mogelijke latency gerealiseerd.
  • De gebruiker heeft volledig controle; hij kan zelf real-time filters aanmaken en aanpassen.
  • Infrastructuurbescherming voor 1 tot 1000 IP’s per filter door persoonlijke DDoS ‘filter-set’-instellingen per beschermd IP-subnet.
  • Default opereert het filter in-line; hierdoor heeft de gebruiker geen last van re-routing netwerkonderbrekingen.
  • Er wordt geen gebruikgemaakt van externe cleaning-centers voor het schoonmaken van het verkeer; uw verkeer blijft binnen de grenzen van Nederland.
  • Door middel van een GRE-tunnel of Cross Connect-kabel is de Serverius DDoS-filtering ook buiten de Serverius-datacenters – door niet-colocatieklanten – te gebruiken.
  • De totaaloplossing is uniek in zijn soort. Geen enkel ander DDoS-filter in de wereld biedt dezelfde functionaliteit en kwaliteit.

Door: Dick Schievels

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!