Achtergrondartikel


CEO Jesper Andersen van Infoblox:

‘Meeste aanvallen vinden plaats via DNS’

Een solide infrastructuur voor DNS en DHCP en een gedegen IP Address Management (IPAM) – samen vaak aangeduid met de afkorting ‘DDI’ – zijn cruciaal voor de continuïteit van een onderneming. “Als bijvoorbeeld je Domain Name Server platligt, kun je het hele bedrijf wel naar huis sturen”, stelt Jesper Andersen, CEO van DDI-specialist Infoblox. Maar ook vanuit security-oogpunt wordt DDI steeds belangrijker, zo leren we tijdens een gesprek met Andersen.

Als we Andersen eind 2015 op het Nederlandse kantoor van Infoblox in Amsterdam spreken, heeft hij net zijn eerste jaar als Chief Executive Officer van Infoblox achter de rug; een jaar dat volgens de geboren Deen voor Infoblox in het teken stond van enkele grote veranderingen. Zo maakte Infoblox een sterke groei door – zowel in het aantal werknemers als in de omzet – en werd het portfolio uitgebreid met een reeks securityproducten.

De groei van Infoblox heeft onder andere te maken met de groei van de DDI-markt, die weer samenhangt met de toename van het aantal IP-adressen door onder andere de constante toename van het aantal webservices. “Daarnaast zien we twee katalysatoren die de DDI-markt nog verder aanjagen, namelijk cloud en security”, zo benadrukt Andersen.

Consistente gegevens
De cloud heeft er volgens Andersen voor gezorgd dat DDI-oplossingen zoals Infoblox die biedt, voor steeds meer bedrijven onmisbaar zijn. “Voordat het virtualisatietijdperk intrad, wist je precies welk IP-adres was gekoppeld aan welke server of applicatie en had je controle over je adressering”, licht Andersen toe. “Virtualisatie en de cloud hebben dat veranderd. Je hebt nu te maken met meerdere servers op één fysieke ‘doos’ met elk een eigen IP-adres en sommige applicaties komen te draaien in datacenters waar je de IP-adressen niet kunt controleren. Maar die IP-adressen zijn wel gekoppeld aan services en die moeten goed zijn gedocumenteerd in de DNS-records, anders kunnen je gebruikers de applicaties niet benaderen.”

“Met onze producten automatiseren we deze beheertaken en helpen we bij het controleren van de IP-adressen”, vervolgt Andersen. Zo biedt Infoblox een reeks Trinzic Appliances die een DNS/DHCP-infrastructuur bieden en een gecentraliseerd systeem voor het beheer van IP-adressen, zodat de gegevens altijd consistent zijn, zowel binnen traditionele omgevingen als binnen hybride cloudomgevingen waarin de private cloud wordt gecombineerd met de publieke clouddiensten van bijvoorbeeld Amazon, Google of Microsoft.

Tier 1-diensten
“Met onze DDI-producten ondersteunen we zeer kritische, ‘Tier 1’-netwerkdiensten”, constateert Andersen. “Als bijvoorbeeld bij een bank de DNS plat gaat, dan zijn ook alle pinautomaten van die bank buiten werking. Deze grote afhankelijkheid van DNS zorgt er ook voor dat bedrijven het eng vinden om de DNS-infrastructuur te upgraden. Met de producten van Infoblox voelt een beheerder zich veel comfortabeler om een upgrade uit te voeren, want de producten van Infoblox werken altijd.”

Volgens Andersen wordt DDI echter ook een steeds belangrijker wapen in de strijd tegen cybercrime. “Het beschermen van je netwerk houdt ook in dat je je DNS beveiligt. Met onze producten bieden we als het ware een ‘control plane’ die steeds belangrijker wordt in het beveiligen van met name DNS.”

Bescherming tegen DDoS-aanvallen
“Op applicatieniveau vinden de meeste aanvallen op bedrijven vandaag de dag plaats via DNS”, vertelt Andersen. “Er is in de media al enkele jaren veel aandacht voor Distributed Denial of Service (DDoS)-aanvallen. Die aanvallen waren in eerste instantie vooral gericht op de ‘externe DNS-server’ die de website van het bedrijf presenteert aan de buitenwereld. Aanvallers proberen die server te laten verzuipen door zoveel mogelijk verkeer naar die server te sturen.”

Een mogelijke manier om een DDoS-aanval af te slaan, is het inzetten van DNS/DHCP-appliances met voldoende ‘power’ om het kwaadaardige netwerkverkeer te absorberen. “Maar DDoS-aanvallen zijn de afgelopen jaren steeds geavanceerder geworden”, stelt Andersen. Als voorbeeld geeft de CEO ‘amplification attacks’ en ‘redirect attacks’ waarbij een aanvaller de externe DNS-server overneemt, een kopie van de website maakt en installeert op een eigen server en slachtoffers daar naartoe leidt.

Om dit soort geavanceerde aanvallen op de externe DNS-server te voorkomen, heeft Infoblox ‘External DNS Security’ ontwikkeld. “De bad guys worden echter steeds slimmer en misbruiken nu ook de interne DNS die de eigen medewerkers gebruiken om de aangeboden diensten te kunnen benaderen”, stelt Andersen. De interne DNS-infrastructuur wordt bijvoorbeeld misbruikt voor de ‘call home’ door malware of om documenten in stukken gehakt naar buiten te sluizen, zo schetst de CEO van Infoblox. “Met onze DNS Firewall kunnen we voorkomen dat geïnfecteerde devices communicatie opzetten met Command and Control-servers en met botnets. Ook kunnen we kijken naar patronen in het DNS-verkeer omdat afwijkingen direct zichtbaar zijn en er dus actie op kan worden ondernomen.”

Differentiatie
“We hebben de afgelopen periode enkele succesvolle securityproducten aan ons portfolio toegevoegd die concurrerende fabrikanten niet bieden”, zo concludeert Anderson. “Security maakt nu tien procent van onze omzet uit en dat percentage neemt snel toe. Maar ook de cloud is voor ons een steeds belangrijkere driver.”


Lees meer over