Minister kijkt naar advies AMS-IX voor gescheiden landelijke netwerken
Minister Van Weel van Justitie en Veiligheid gaat kijken naar een advies van de Amsterdam Internet Exchange (AMS-IX) om gescheiden landelijke netwerken aan te leggen. De bewindsman zal in de volgende 'cyberbrief' voor de Tweede Kamer ingaan op het advies. Dat liet Van Weel weten tijdens een debat van de vaste commissie voor Justitie en Veiligheid en de vaste commissie voor Defensie dat over Nationale veiligheid en weerbaarheid ging.
"De Amsterdam Internet Exchange, een van de grootste knooppunten ter wereld, adviseert nu om gescheiden landelijke netwerken aan te leggen, los van het reguliere internet en liefst Europees georganiseerd zonder buitenlandse afhankelijkheid. Mijn vraag aan de minister is of hij daarmee aan de slag gaat", liet GroenLinks-PvdA-Kamerlid Mutluer weten.
"Een van mijn suggesties deed ik naar aanleiding van datgene wat is gezegd door de Amsterdam Internet Exchange, een van de grootste knooppunten ter wereld. Men zei: kom ook met gescheiden landelijke netwerken; leg die aan los van het reguliere netwerk. Zou dat een oplossing kunnen zijn voor de vraag die zojuist door collega Six Dijkstra is gesteld? Wordt daarover nagedacht, en hoe dan?", stelde het Kamerlid later in het debat.
Wanneer de AMS-IX het advies heeft gedaan is niet duidelijk uit het debat. Wel kwam de AMS-IX afgelopen februari voor een rondetafelgesprek over het onderwerp 'Digitale soevereiniteit bij de Rijksoverheid' met een position paper. "Digitale soevereiniteit betekent voor ons dat we zelf de beslismacht hebben over onze digitale infrastructuur. Dit betekent niet dat we alles zelf moeten bezitten of dat we buitenlandse partijen zoals Amerikaanse en Chinese techbedrijven volledig moeten weren. Het betekent wél dat Nederland, wanneer het erop aankomt, zelf de belangrijkste beslissingen kan doorzetten", laat het internetknooppunt daarin weten.
Minister Van Weel stelt in een reactie op de vragen van Mutluer dat hij daar op terugkomt. "Het internet is ooit bedacht als systeem met ultieme redundantie, omdat je met het internet niet meer afhankelijk was van point-to-pointverbindingen tussen een verzender en ontvanger. Het was dus juist het ultieme redundante netwerk. Ik denk dat dit tot nu toe ook is gebleken. Ik heb nog niet gemerkt dat "het internet" eruit lag. Het lijkt me ook onmogelijk om dat eruit te krijgen. Ik moet dus even duiken in wat AMS-IX precies heeft bedoeld." Dat terugkomen doet de minister in een toegezegde 'cyberbrief'. Wanneer die precies verschijnt is niet bekend.
Moet ik dan denken aan een netwerk zoals NAFIN, waar o.a. de Belastingdienst op zit?
In dat geval is het advies niet bijster revolutionair - of uberhaubt uniek.
Maarre, als ik de wollige taal en buzzwoorden op een rijtje zie...
...lijkt het mij aanvankelijk zo'n spelletje: "welk woord hoort er niet tussen".
In tweede instantie is het mij dan duidelijk slechts marketing van consultance middels een te-grote-onepager, bijelkaar geassembleerd door ChatGPT.
Maar "wegens tijdgebrek" om dat fictieve netwerk vlot uit de grond te stampen, gooien we er nog een buzzword tegenaan: energietransitie-probleem.
Dus, als alternatief mag straks iedereen hun "AMS-ix & NLix" inruilt voor "AMS-IX & AMS-IX2", op "overheidsadvies".
Oh wacht... we hebben al AS6777 klaarliggen, en kunnen het gewoon accuut uitrollen!
Nee, ik ben niet erg onder de indruk dat we hier echt spontane en integere vaderlandsliefde waarnemen.
Wel staat dit in de position paper:
innovatieve en veilige digitale oplossingen nodig, terwijl EZ kan ondersteunen met beleid, financiering en
outreach naar private partijen. Door samen te investeren in strategische technologieën, zoals quantum
computing en cybersecurity, vergroten ze de digitale weerbaarheid en bouwen ze een sterke,
onafhankelijke en toekomst gerichte infrastructuur op.
Zelf weet ik niet of een fysiek losgekoppeld netwerk wel nodig is.
Zolang alles via een goed verstevigde VPN gaat zou gewoon internet voldoende moeten zijn?
(Desnoods met one-time pads voor top-geheime data en satelliet voor de meest kritieke communicatie kanalen.)
Zolang alles via een goed verstevigde VPN gaat zou gewoon internet voldoende moeten zijn?
(Desnoods met one-time pads voor top-geheime data en satelliet voor de meest kritieke communicatie kanalen.)
Wel staat dit in de position paper:
innovatieve en veilige digitale oplossingen nodig, terwijl EZ kan ondersteunen met beleid, financiering en
outreach naar private partijen. Door samen te investeren in strategische technologieën, zoals quantum
computing en cybersecurity, vergroten ze de digitale weerbaarheid en bouwen ze een sterke,
onafhankelijke en toekomst gerichte infrastructuur op.
Zelf weet ik niet of een fysiek losgekoppeld netwerk wel nodig is.
Zolang alles via een goed verstevigde VPN gaat zou gewoon internet voldoende moeten zijn?
HUH ?
Jij praat toch altijd als iemand die wel redelijk diep in de Internet techniek zit ?
Is in jouw optiek "availability" dan helemaal niet belangrijk ?
Als er nou IETS makkelijk is, is het wel een VPN (D)DoS'en .
Internet verstoord (om welke reden dan ook - ddos, of gebruikersgolf die allemaal breaking wereldnieuws bekijken ) - en dan is je "gescheiden" VPN dus ook verstoord.
Op volgende scheidingslagen kun je langer discussieren welke componenten ze delen .
MPLS (en verwante encapsulaties) zijn logisch behoorlijk goed gescheiden - maar delen wel een drager netwerk.
Een hack (of fout) bij de operator trekt alles onderuit .
Scheiden op de optische laag zit nog iets dieper - maar ook dan, als die wat optische apparatuur delen is het toch kwetsbaar voor al dan niet bewuste verstoring bij/door de operator.
(Desnoods met one-time pads voor top-geheime data en satelliet voor de meest kritieke communicatie kanalen.)
Vertrouwelijkheid is verreweg het simpelste om op te lossen, maar niet de enige eis voor een beetje netwerk.
Dan is er het fysieke militaire net. Alleen voor het leger.
Dan is er nog het fysieke noodnet. Bij grote calamiteiten alleen voor de overheid.
Hoeveel fysieke netten hebben we nou echt nodig?
Zolang alles via een goed verstevigde VPN gaat zou gewoon internet voldoende moeten zijn?
Als er nou IETS makkelijk is, is het wel een VPN (D)DoS'en .
Internet verstoord (om welke reden dan ook - ddos, of gebruikersgolf die allemaal breaking wereldnieuws bekijken ) - en dan is je "gescheiden" VPN dus ook verstoord.
Op volgende scheidingslagen kun je langer discussieren welke componenten ze delen .
MPLS (en verwante encapsulaties) zijn logisch behoorlijk goed gescheiden - maar delen wel een drager netwerk.
Een hack (of fout) bij de operator trekt alles onderuit .
Scheiden op de optische laag zit nog iets dieper - maar ook dan, als die wat optische apparatuur delen is het toch kwetsbaar voor al dan niet bewuste verstoring bij/door de operator.
Wel dezelfde fysieke infrastructuur maar een volledig ander (IP) netwerk dat prioriteit neemt op de kabel.
(En op welke netwerk laag we die scheiding hebben is dan inderdaad een punt van discussie.)
Zolang alles via een goed verstevigde VPN gaat zou gewoon internet voldoende moeten zijn?
Als er nou IETS makkelijk is, is het wel een VPN (D)DoS'en .
Internet verstoord (om welke reden dan ook - ddos, of gebruikersgolf die allemaal breaking wereldnieuws bekijken ) - en dan is je "gescheiden" VPN dus ook verstoord.
Op volgende scheidingslagen kun je langer discussieren welke componenten ze delen .
MPLS (en verwante encapsulaties) zijn logisch behoorlijk goed gescheiden - maar delen wel een drager netwerk.
Een hack (of fout) bij de operator trekt alles onderuit .
Scheiden op de optische laag zit nog iets dieper - maar ook dan, als die wat optische apparatuur delen is het toch kwetsbaar voor al dan niet bewuste verstoring bij/door de operator.
"Over Internet" en "speciale routing" bestaat (ongeveer) niet.
Het is het collectief van ISPs onderweg die ieder in hun eigen netwerk "de routing" doen.
Als je daarin voor een bepaalde bestemming "iets speciaals" aan het bouwen bent - is dat gewoon - vanuit de operator gezien - een VPN service .
En dat doen ze - alleen typisch niet in dezelfde netwerk laag als 'de global internet table' .
Dat is voor de operator gewoon een MPLS-VPN (of E-VPN) of bladiebla VPN - afhankelijk van hoe hun generieke diensten-drager netwerk gebouwd is.
Naar "ver weg" betekent meestal dat dergelijke diensten van een paar operators aan elkaar geknoopt moeten worden.
Over het algemeen zijn allerlei resource garanties veel maar standaard te bouwen een laagje onder IP , dan binnen een stuk IP transport overal capaciteitsgaranties te hebben voor bepaalde specifieke bestemmingen.
Wel dezelfde fysieke infrastructuur maar een volledig ander (IP) netwerk dat prioriteit neemt op de kabel.
Dat zijn dan de MPLS-VPN (of E-VPN etc) services.
Maar sorry - als je zegt "gewoon VPN over Internet" - dat gaat NIET samen met goede scheiding qua resources.
Om dat te garanderen heb je de hulp nodig van alle operators van de routerende/switchende apparatuur in het pad.
En die hebben dat gewoonlijk wel beschikbaar als dienst - maar dan in één van de netwerk lagen die wat meer geschikt is.
(En op welke netwerk laag we die scheiding hebben is dan inderdaad een punt van discussie.)
Jij zei "VPN over Internet" - dan ligt de scheiding per definitie op L3 of nog hoger.
Dat model werkt prima zolang je kunt leven met de typische Internet service (best effort en geen E2E resource garanties )
Met het internet doelde ik eigenlijk op de fysieke infrastructuur die er al ligt, niet de publieke IP laag...
Ik had dat inderdaad beter kunnen verwoorden. Is de volgende zin duidelijker?
"Een VPN verbinding over de fysieke provider infrastructuur die logisch gescheiden is van het internet."
Trouwens, nu ik er zo over nadenk, hoe ver zou je kunnen komen bij wel over het publieke internet te gaan?
Firewall en VPN zijn natuurlijk een gegeven, en dat is allemaal wel dicht te timmeren met PQ, OTP's, etc.
Zou het bijvoorbeeld voldoende DDoS bescherming kunnen bieden als ISP's al het verkeer van buitenaf droppen?
Het access netwerk van alle (drie ? ) operators is voornamelijk eigen infrastructuur - dat is precies "het" netwerk van een Ziggo, Delta Fiber of KPN broadband .
Maar onderdelen kunnen weer gehuurd zijn - Ziggo zou bijvoorbeeld een stel vezels tussen Limburg en Amsterdam kunnen leasen van een partij die op dat traject (al) vezelfs heeft liggen .
In netwerk-termen wordt over het algemeen degene met "actieve" apparatuur beschouwd als "de eigenaar/beheerder" van het netwerk , en met name op laag 2 en hoger .
Dat is omdat alle verkeers-beslissingen, operationeel inzicht bij die partij liggen .
Wie de financiele bezitter is van dingen (zoals glasvezels) heeft minder praktische invloed.
Uiteindelijk bestaat _heel internet_ uit een verzameling aan elkaar geknoopte 'gescheiden' netwerken, die onderling verkeer naar en door elkaar heen sturen .
"Fysiek gescheiden" kan op een hoop nivo's geinterpreteerd worden.
Een stel gescheiden glasvezels kan naast elkaar in dezelfde sleuf liggen - en dus gezamelijk kwetsbaar zijn voor dezelfde damwand of graafmachine die de grond in ramt .
Je kunt een glasvezel delen met verschillende kleuren licht (lambda's ) - die beinvloeden elkaar totaal niet .
Maar de vezel, de optische versterkers en de multiplexers zijn gedeeld .
Je kunt binnen dezelfde lichtkleur, op dezelfde vezel - gescheiden paden L2 verkeer vervoeren.
Ethernet vlan tags zijn het bekendste scheidingsconcept , maar er zijn (of waren : ATM,SDH) meer opties - MPLS bijvoorbeeld . Dan worden ook de switches al gedeeld .
etc .
KPN heeft ooit al Het Net gehad, dus het kan.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Online Tech event @Rijksoverheid #security
Benieuwd hoe het is om als securityspecialist bij de Rijksoverheid te werken? Tijdens dit online event op 2 juni hoor je hoe security-specialisten bijdragen aan de veiligheid van Nederland, wat hun werk inhoudt en welke vacatures er zijn. Meld je aan voor een gratis ticket.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?