ON2013 Algemene Functionele Beschrijving nr.2 17 december 2013

Transcriptie

1 ON2013 Algemene Functionele Beschrijving nr.2 17 december 2013 Haagse Inkoop Samenwerking (HIS) Bezoekadres Rijkskantoor Beatrixpark Wilhelmina van Pruisenweg AN Den Haag Postbus EA Den Haag

2 Inhoudsopgave 1. Inleiding Connectiviteitsdiensten Algemeen E-Tree Bandbreedte en Pricing E-Tree Aanleg en inzet glasvezelinfrastructuur Technische eisen op gebied Connectiviteitsdiensten Internettoegang Algemeen Anti-(D)DoS Processtappen (D)DoS-aanval en op gebied van Internettoegang december 2013 Pagina 2 van 15

3 1. Inleiding De Rijksoverheid is begonnen met de voorbereidingen voor een aanbesteding van vaste datacommunicatiediensten onder de naam ON2013. Na publicatie in mei 2013 van de verwervingsstrategie (beschikbaar op is het projectteam ON2013 gestart met het inventariseren en vastleggen van deelnemers aan de aanbesteding en hun behoefte aan datacommunicatiediensten. De vastlegging is vergevorderd en heeft geleid tot een eerste Algemene Functionele Beschrijving (AFB), welke op 3 september openbaar is gemaakt via de website Op het eerste AFB is een groot aantal reacties ontvangen. Bij het verwerken van de reacties is goed geluisterd naar afgegeven signalen uit de markt. De diverse reacties hebben onder andere geleid tot het aanpassen cq aanscherpen van het bestek en de op 27 mei 2013 gepubliceerde verwervingsstrategie ON2013. De verwervingsstrategie ON2013 is op de volgende punten aangepast cq aangescherpt: 1. De binnen het perceel connectiviteitsdiensten opgenomen diensten Huurlijnen en DSL verbindingen zullen niet langer worden verworven onder ON2013. Huurlijnen en DSL verbindingen die op dit moment bij de deelnemers in gebruik zijn worden tijdens de migratiefase, die na gunning van nadere overeenkomsten onder ON2013 overeenkomsten van start gaat, uitgefaseerd of vervangen door diensten uit het ON2013 portfolio. 2. In het perceel internettoegang worden tevens anti-ddos voorzieningen verworven. Het verwerken van de reacties en de aanpassing cq aanscherping van de verwervingsstrategie, hebben geleid tot dit tweede AFB. Het tweede AFB bevat een globaal overzicht van een deel van de eisen die het projectteam ON2013 in het kader van de aanbesteding ON2013 voornemens is op te nemen in het beschrijvend document. Dit document heeft als doel de potentiële inschrijvers op een vroeg tijdstip te informeren over delen van de inhoud van de aanbesteding. Hierdoor kunnen marktpartijen nog voor de officiële publicatie van de aanbesteding feedback geven op onderdelen van de gevraagde dienstverlening. De markt wordt dan ook van harte uitgenodigd hun feedback te geven via het adres postbus.on2013@minbzk.nl. Het projectteam zal vervolgens een zorgvuldige afweging maken of de feedback invloed heeft op de inhoud van het concept bestek. Hiermee wordt tevens duidelijk dat alle in dit document opgenomen informatie uitsluitend moet worden beschouwd als een momentopname en daarmee vatbaar is voor iedere denkbare wijziging. Aan de inhoud van dit document kunnen derhalve geen rechten worden ontleend. Het projectteam zal een volgend AFB publiceren op de website als daar als gevolg van gewijzigde of nieuwe inzichten aanleiding voor is. Om tijdig de feedback te kunnen verwerken wordt verzocht om reacties op dit AFB uiterlijk 8 januari 2014 naar voornoemde adres te sturen. De aanbesteding is onderverdeeld in twee percelen; het perceel Connectiviteitsdiensten en het perceel Internettoegang. Deze percelen worden in aparte hoofdstukken behandeld, waarbij per hoofdstuk eerst wordt stilgestaan bij een aantal perceel specifieke keuzes die het projectteam heeft gemaakt. Daarna volgt een lijst met een deel van de eisen en wensen die nu zijn voorzien. Tot slot wordt nog vermeld dat dit AFB is samengesteld uit verschillende losse onderdelen van het huidige concept beschrijvend document. Het is mogelijk dat hierdoor gelijksoortige eisen in de verschillende percelen nog enigszins verschillend zijn gespecificeerd, of dat er verwijzingen zijn opgenomen die naar niet in het AFB opgenomen bestekdelen verwijzen. Dit is echter geen belemmering voor het verkrijgen van een algemeen beeld van de koers die het projectteam met deze aanbesteding voor ogen heeft. 17 december 2013 Pagina 3 van 15

4 2. Connectiviteitsdiensten 2.1. Algemeen Het perceel connectiviteitsdiensten omvat vaste datacommunicatiediensten voor het onderling verbinden van locaties van deelnemers. Het betreft ethernetverbindingen waaronder E-Line, E-LAN, E-Tree. Daarnaast kunnen deelnemers integrale netwerkdiensten afnemen (IP VPN s). De diensten Huurlijnen en DSL-wholesale zullen niet langer worden verworven onder ON2013. Huurlijnen en DSL-wholesale verbindingen die op dit moment bij de deelnemers in gebruik zijn worden tijdens de migratiefase, die na gunning van nadere overeenkomsten onder ON2013 overeenkomsten van start gaat, uitgefaseerd of vervangen door diensten uit het ON2013 portfolio E-Tree Als alternatief voor de DSL-wholesale verbindingen is onder ethernetverbindingen de E-Tree dienstverlening opgenomen. De E-Tree dienstverlening bestaat uit één of meerdere trunks waarop meerdere leafs zijn geaggregeerd. De leafs zijn niets anders E-lines, waarbij onderlinge communicatie tussen de leafs niet is toegestaan. 17 december 2013 Pagina 4 van 15

5 Bandbreedte en Pricing E-Tree De opdrachtgever is voornemens de prijzen van de trunks en leafs afzonderlijk uit te vragen. Voor de E-Tree trunk worden de volgende bandbreedtes (inclusief bijbehorende interface specificaties) gevraagd: Dienstartikel Capaciteit Interface Protocol Fysieke Interface E-TREE 1G (10000-S) 1 Gbps IEEE 802.3z, 1000BASE-LX10 single mode 1310 nm, SC/PC of LC/PC E-TREE 1G (10000-S) 1 Gbps IEEE 802.3z, 1000BASE-SX multi mode 850 nm, SC/PC of LC/PC E-TREE 1G (10000-T) 1 Gbps IEEE 802.3ab, 1000BASE-T RJ-45 E-TREE 2G (10000-S) 2 Gbps IEEE 802.3ae, 10GBASE-LR single mode 1310 nm, SC/PC of LC/PC E-TREE 2G (10000-S) 2 Gbps IEEE 802.3ae, 10GBASE-SR multi mode 850 nm, SC/PC of LC/PC E-TREE 5G (10000-S) 5 Gbps IEEE 802.3ae, 10GBASE-LR single mode 1310 nm, SC/PC of LC/PC E-TREE 5G (10000-S) 5 Gbps IEEE 802.3ae, 10GBASE-SR multi mode 850 nm, SC/PC of LC/PC E-TREE 10G (10000-S) single mode around 1300 nm, LC of 10 Gbps IEEE 802.3ba, 40GBASE-LR4 LC/PC E-TREE 10G (10000-S) multi mode around 850 nm, MPO of 10 Gbps IEEE 802.3ba, 40GBASE-SR4 MPO/MTP E-TREE 20G (10000-S) single mode around 1300 nm, LC of 20 Gbps IEEE 802.3ba, 40GBASE-LR4 LC/PC E-TREE 20G (10000-S) multi mode around 850 nm, MPO of 20 Gbps IEEE 802.3ba, 40GBASE-SR4 MPO/MTP E-TREE 30G (10000-S) single mode around 1300 nm, LC of 30 Gbps IEEE 802.3ba, 40GBASE-LR4 LC/PC E-TREE 30G (10000-S) multi mode around 850 nm, MPO of 30 Gbps IEEE 802.3ba, 40GBASE-SR4 MPO/MTP E-TREE 40G (10000-S) single mode around 1300 nm, LC of 40 Gbps IEEE 802.3ba, 40GBASE-LR4 LC/PC E-TREE 40G (10000-S) multi mode around 850 nm, MPO of 40 Gbps IEEE 802.3ba, 40GBASE-SR4 MPO/MTP 2.3. Aanleg en inzet glasvezelinfrastructuur Voor een deel van de aansluitingen geldt dat deze, in verband met de gewenste capaciteit, alleen geleverd kunnen worden over glasvezelverbindingen. Bestellingen van dergelijke aansluitingen kunnen vanuit verschillende uitgangssituaties gebeuren. Allereerst is het van belang of de bestelling van de te realiseren aansluiting onderdeel is van de gunning van een nieuwe Nadere Overeenkomst (NOK) of dat het een additionele bestelling onder een reeds bestaande NOK betreft. Daarnaast is het van belang onderscheid te maken tussen locaties die al een glasvezelverbinding hebben en locaties die nog niet op basis van glasvezel zijn ontsloten. Bij reeds aangesloten locaties is het tot slot relevant om te weten of deze bestaande aansluiting wel of niet reeds in gebruik of eigendom is van de leverancier waar een NOK mee is afgesloten. Op basis van deze verschillende uitgangssituaties zijn verschillende spelregels van toepassing bij het realiseren van aansluitingen op basis van glasvezel: 1. Situatie 1: aansluiting komt tot stand op basis van de gunning van een nieuwe NOK. In deze situatie wordt het volledig aan de Opdrachtnemers overgelaten om te bepalen hoe eventuele noodzakelijke glasvezelverbindingen worden gerealiseerd. De Opdrachtnemer kan daarvoor afspraken maken met andere aanbieders die al op of dichtbij de aan te sluiten locatie aanwezig zijn. De Opdrachtnemer kan er echter ook voor kiezen zelf de aansluiting te realiseren. De Opdrachtgever verwacht dat de onderlinge competitie tijdens de NOK gunning er toe zal leiden dat de Opdrachtnemers zullen kiezen voor de oplossing die voor alle Partijen economisch het meest voordelig is. De Opdrachtnemers dienen zich wel te realiseren dat de aanlegkosten van iedere individuele glasvezelverbinding nooit hoger 17 december 2013 Pagina 5 van 15

6 kunnen zijn dan de in de raamovereenkomst (ROK) vastgelegde maximale eenmalige kosten voor de aanleg van nieuwe infrastructuur. 2. Situatie 2: Aansluiting betreft een additionele bestelling binnen een bestaande NOK, Opdrachtnemer heeft al glas op de betreffende locatie liggen. In deze situatie wordt de leverancier geacht de aansluiting te leveren zonder het in rekening brengen van de eenmalige (maximale) kosten voor nieuwe infrastructuur. 3. Situatie 3: Aansluiting betreft een additionele bestelling binnen een bestaande NOK, er ligt al glas op de betreffende locatie van een andere leverancier. De Opdrachtnemer kan in dit geval de gevraagde dienst leveren over de glasvezelinfrastructuur van de andere leverancier (mits dit door deze andere leverancier wordt toegestaan) of over een zelf aan te leggen nieuwe infrastructuur. De Opdrachtnemer brengt voor beide varianten een offerte uit: a. Offerte a: aanleg nieuwe glasvezelinfrastructuur. In deze offerte geeft de Opdrachtnemer aan wat de kosten zijn om een nieuwe, eigen glasvezelverbinding naar de locatie te brengen. Deze kosten zijn gemaximeerd op de in de raamovereenkomst opgenomen eenmalige kosten voor nieuwe infrastructuur. De Opdrachtnemer dient een tracé aan te bieden dat loopt van de aan te sluiten locatie naar de dichtstbijzijnde locatie waar een aansluiting op het eigen netwerk gerealiseerd kan worden, eventueel gebruik makend van landelijk in gebruik zijnde aansluitpunten waar meerdere leveranciers gebruik van maken (knooppunten of co-locaties). b. Offerte b: gebruik maken van bestaande infrastructuur (mits toegestaan). In deze offerte wordt een eenmalig bedrag opgenomen waarin alle kosten zijn inbegrepen die de Opdrachtnemer gedurende de resterende looptijd van de NOK verschuldigd is aan de leverancier/eigenaar van de glasvezelinfrastructuur. Het geoffreerde bedrag is gebaseerd op de kostprijs. 4. Situatie 4: Aansluiting betreft een additionele bestelling binnen een bestaande NOK. Er ligt nog geen glas op de betreffende locatie. In deze situatie dient de Opdrachtnemer een offerte uit te brengen voor de aanleg van een eigen nieuwe glasvezelverbinding naar de aan te sluiten locatie. De eenmalige kosten van deze aanleg zijn gemaximeerd op de in de raamovereenkomst opgenomen maximale eenmalige kosten voor nieuwe infrastructuur. De Opdrachtnemer dient een tracé aan te bieden dat loopt van de aan te sluiten locatie naar de dichtstbijzijnde locatie waar een aansluiting op het eigen netwerk gerealiseerd kan worden, eventueel gebruik makend van landelijk in gebruik zijnde aansluitpunten waar meerdere leveranciers gebruik van maken (knooppunten of co-locaties). Als het aan te sluiten object gelegen is op een locatie dichtbij een tracé van een andere leverancier die in verband met wet- en regelgeving verplicht is locaties in de nabijheid van zijn tracés aan te sluiten, dan dient de Opdrachtnemer ook een offerte op te stellen die gebaseerd is op aansluiting via deze andere leverancier. In deze offerte kan de Opdrachtnemer zowel de aanlegkosten opnemen als een eenmalig bedrag waarin alle kosten zijn inbegrepen die de Opdrachtnemer gedurende de resterende looptijd van NOK verschuldigd is aan de leverancier van de glasvezelinfrastructuur. Het geoffreerde bedrag is gebaseerd op kostprijs. Naast bovengenoemde offertes staat het de Opdrachtnemer vrij nog een derde offerte aan te bieden als hij van mening is dat een economisch voordeligere oplossing voorhanden is. 17 december 2013 Pagina 6 van 15

7 2.4. Technische eisen op gebied Connectiviteitsdiensten 1 Algemeen 1.1 Het Levergebied van de Diensten beslaat het gehele Nederlandse grondgebied exclusief de BES-eilanden. 1.2 Opdrachtnemer is verplicht alle Diensten zoals genoemd in de Tarieflijst te leveren in het Levergebied. 1.3 Al het verkeer dient transparant, ongefilterd en ongelimiteerd getransporteerd te kunnen worden. 1.4 De Opdrachtnemer moet een extra hoge beschikbaarheid kunnen leveren op alle locaties in het Levergebied. 1.5 Opdrachtnemer dient met opgave van het gegarandeerde beschikbaarheidpercentage extra hoge beschikbaarheid te kunnen aanbieden middels oplossingen via gescheiden fysieke infrastructuurpaden, van één of twee opdrachtnemerlocaties naar één of twee deelnemerlocaties. 1.6 Opdrachtnemer dient als oplossing voor de extra hoge beschikbaarheid dualrouted, multi-homed aan te kunnen bieden met opgave van het gegarandeerde beschikbaarheidpercentage van deze oplossing. Dual-routed, multi-homed is het redundant ontsluiten van een locatie van de Deelnemer via gescheiden fysieke infrastructuurpaden naar twee verschillende aansluitlocaties van de Opdrachtnemer. 1.7 Opdrachtnemer dient een end-to-end Quality-of-Service mogelijk te maken. 1.8 De diensten van Opdrachtnemer vormen geen beperking voor Deelnemers om door middel van eigen IP/netwerkapparatuur IP-VPN's te creëren met CoS en/of QoS (aansluiting is IP-transparant). 1.9 Opdrachtnemer garandeert dat over de aangeboden diensten, toepassingen zoals VoIP en real-time (multicast) video (of minimaal vergelijkbaar) getransporteerd kunnen worden De Dataverbindingen dienen geschikt te zijn voor het end-to-end-transport van VoIP Opdrachtnemer dient IPv4 te ondersteunen Opdrachtnemer dient dual stack (IPv4 / IPv6) te ondersteunen Opdrachtnemer dient IPv6 te ondersteunen. 2 Ethernetdiensten 2.1 De aangeboden ethernet frames (zowel de ethernet header als de ethernet data) worden zonder aanpassingen bij de bestemming afgeleverd. De dienst is transparant voor extra headers voor o.a. ISL, 802.1Q, Q-in-Q, MPLS labels.(802.1ad).tagged frames tot 1522 bytes moeten worden ondersteund. 2.2 Jumbo frames (ethernet frames tot 9000 bytes) worden ondersteund. 2.3 Linkaggregatie op basis van IEEE 802.3ad dient ondersteund te worden. 2.4 Opdrachtnemer dient decentraal minimaal 20 en centraal minimaal 1000 VLAN s op één locatie te kunnen leveren. 2.5 Opdrachtnemer dient de verschillende VLAN s op één locatie logisch gescheiden af te kunnen leveren op één fysieke interface. Conform 802.1Q. 2.6 Opdrachtnemer dient de verschillende VLAN s op één locatie logisch gescheiden af te kunnen leveren binnen op een fysieke interface. 2.7 Opdrachtnemer ondersteunt ethernet multicasting. 2.8 Opdrachtnemer ondersteunt ethernet multicasting, waarbij multicastverkeer alleen wordt aangeboden op interfaces die aangemeld zijn voor de multicast-groep. 2.9 Opdrachtnemer ondersteunt 4 nader af te stemmen profielen, met hierin een procentuele queue indeling op bandbreedte, voor de verschillende verkeersklassen De Opdrachtnemer dient CoS-support te bieden waarbij per klasse te definiëren is of wel of geen throughput-garantie benodigd is Ethernet unicast verkeer wordt alleen aangeboden op de interface waarop betreffende MAC-adres bereikbaar is Een VLAN-ID dient uniek te zijn. 17 december 2013 Pagina 7 van 15

8 2.13 E-Tree dient IEEE 802.1ad (Q-in-Q) als encapsulatie te ondersteunen, waarin het 1 e niveau encapsulatie (het 1 e Q) de trunk zijde van E-Line is en het 2e niveau encapsulatie (het 2 e Q) de betreffende VLAN s is binnen de E-Line De capaciteit van een E-Tree dient van de E-line (leaf) tot en met de Trunk gegarandeerd te zijn. Dat betekent ook dat de capaciteit op het 1e Q in de E-Tree/Trunk gegarandeerd is. 3 Managed VPN diensten 3.1 Binnen een IP-VPN-dienst gedraagt een VPN zich als een gesloten netwerk, waarbij het verkeer binnen dit VPN niet over internet wordt getransporteerd. De IP-VPN-dienst bestaat uit de volgende componenten: accesslijn in diverse bandbreedtes tussen locatie van een Deelnemer en het netwerk van Opdrachtnemer (inclusief poort op het netwerk van Opdrachtnemer); beheerde apparatuur met minimaal twee interfaces. 3.2 De netwerkdienstverlening dient transparant te zijn voor het gebruik van de bij de Deelnemer in gebruik zijnde IP-adressen (public en private IPadressen). 3.3 Opdrachtnemer dient op het koppelvlak per aansluiting statische, OSPF- en RIPv2-routering te ondersteunen. 3.4 Opdrachtnemer dient op het koppelvlak per aansluiting IS-IS-, (E)IGRP- en BGP-4-routering te ondersteunen. 3.5 Binnen een VPN is any-to-any-communicatie mogelijk tussen alle aansluitingen op dit VPN. 3.6 Opdrachtnemer dient meerdere VPN s aan één Deelnemer te kunnen leveren. 3.7 Opdrachtnemer dient op de aangesloten Locaties meerdere VPN's (gebundeld op de aanwezige fysieke interfaces) te kunnen leveren. Het aantal te leveren VPN's op een decentrale Locatie is minimaal 20 VPN's, op de centrale Locatie is het aantal te leveren VPN's minimaal 1000 (gebundeld over de fysieke interfaces).conform 802.1Q. 3.8 Opdrachtnemer dient het gewenste aantal VPN's op een Locatie te kunnen leveren over verschillende fysieke interfaces (één VPN moet op 1 of meerdere fysieke interfaces geleverd kunnen worden). Voor een decentrale Locatie worden maximaal 2 fysieke interfaces voorzien, voor de centrale Locatie worden maximaal 8 fysieke interfaces voorzien. De manier van verdeling van de VPN's over de interfaces wordt bij bestelling door de Deelnemer aangegeven. 3.9 Opdrachtnemer dient de verschillende VPN s op één locatie logisch gescheiden af te kunnen leveren binnen één fysieke interface De Opdrachtnemer ondersteunt minimaal 4 verkeersklassen in volgorde van prioriteit: 1 - Real time (low latency, low jitter). Deze klasse ondersteunt real-time verkeersstromen en verkeerstromen die een gegarandeerde lage vertragingstijd en weinig variatie in vertragingstijd vereisen. 2 - Interactieve transacties (low latency). Deze klasse ondersteunt hoog interactief verkeer dat een lage gegarandeerde vertragingstijd vereist, maar minder gevoelig is voor variatie in vertragingstijd. 3 - Low loss. Deze klasse ondersteunt verkeersstromen die weinig pakketverlies verdragen. 4 - Best effort voor al het overige verkeer De Opdrachtnemer ondersteunt zonder meerkosten een vijfde QoS-klasse. Deze klasse is geschikt voor transactie verkeer Classificatie van verkeer in verkeersklassen dient mogelijk te zijn op: source-interface; source IP-adres; destination IP-adres; TCP/UDP-poortnummer; IP-protocolnummers; diffserv: DSCP/TOS-veld; combinaties van bovenstaande Classificatie van verkeer in verkeersklassen dient mogelijk te zijn op V-LAN id. Wens 17 december 2013 Pagina 8 van 15

9 3.14 Het dient mogelijk te zijn om de aansluitcapaciteit te verdelen over de diverse verkeersklassen, waarbij per verkeersklasse een capaciteitsgarantie wordt geleverd Opdrachtnemer dient de DHCP-relay functionaliteit te ondersteunen Toegangsbeveiliging tot integrale netwerken moet geregeld te kunnen worden met access listen. Het moet in ieder geval mogelijk zijn om verkeer op basis van bron- en bestemmingsadressen, protocollen of een combinatie daarvan te blokkeren of juist expliciet toe te staan. Tevens dient reverse-path-controle ondersteund te worden Opdachtnemer dient SNMP-toegang tot eindapparatuur op de Aansluitpunten voor monitoring en het uitlezen van gebruiksstatistieken te ondersteunen. 17 december 2013 Pagina 9 van 15

10 3. Internettoegang 3.1. Algemeen Internettoegang omvat diensten waarmee willekeurige (kantoor-)locaties en datacenters van deelnemers in heel Nederland met één of meerdere IP-aansluitingen gekoppeld kunnen worden aan het internet. De dienst Internettoegang wordt niet alleen gebruikt voor internetgebruik vanaf de werkplek, maar kan ook voor andere toepassingen worden ingezet, zoals: het koppelen van websites en applicaties die via internet informatie uitwisselen; het uitwisselen van verkeer met externe partijen; het beheer op afstand door derden. Internetverbindingen van het type consumentenlijnen met een service level best effort maken géén deel uit van de scope van deze aanbesteding Anti-(D)DoS De deelnemers die binnen het perceel 2 internettoegang diensten afnemen kunnen optioneel anti- (D)DoS dienstverlening afnemen. Inmiddels is er een grote verscheidenheid aan (D)DoS aanvalsvormen bekend. Zo zijn er aanvallen bekend op het IP protocol zelf, de routering, de netwerkservices of op applicatieniveau. (D)DoS aanvallen zijn tegenwoordig veelal complex van opzet, waarbij meerdere aanvalstechnieken gelijktijdig of na elkaar worden ingezet. Deze complexiteit stelt eisen aan juiste detectie van de aanvalsvorm, de in te zetten maatregel en competentie en flexibiliteit van de organisatie die belast is met het afweren van de aanval. De gevraagde anti-(d)dos dienstverlening richt zich op alle lagen van het OSI-model waar potentieel (D)DoS aanvallen op kunnen worden uitgevoerd. De anti-(d)dos dienstverlening behelst het kunnen identificeren, isoleren van (D)DoS aanvallen en het opschonen van het internetverkeer. Het doel is om te allen tijde een gegarandeerde capaciteit aan geschoond internet verkeer beschikbaar te hebben in de volgende bandbreedtes: Dienstartikel Anti-(D)DoS 10M Anti-(D)DoS 50M Anti-(D)DoS 100M Anti-(D)DoS 500M Anti-(D)DoS 1G Anti-(D)DoS 2G Anti-(D)DoS 5G Anti-(D)DoS 10G Capaciteit Geschoond Verkeer 10 Mbps 50 Mbps 100 Mbps 500 Mbps 1 Gbps 2 Gbps 5 Gbps 10 Gbps De bij een internetverbinding gekozen capaciteit geschoond verkeer uit bovenstaande tabel wordt op basis van een vast maandelijks bedrag in rekening gebracht. Dit maandelijkse tarief komt daarmee bovenop de vaste maandelijkse kosten van de afgenomen internetverbinding. Afname van anti-(d)dos dienstverlening bij een internetverbinding is optioneel. 17 december 2013 Pagina 10 van 15

11 3.3. Processtappen (D)DoS-aanval Het op de volgende pagina weergegeven proces geeft op hoofdlijnen inzicht in de te volgen processtappen indien een (D)DoS aanval wordt gedetecteerd. De eerste processtap in dit proces is het detecteren van een aanval. Indien een aanval of mogelijke aanval wordt gedetecteerd, dienen Opdrachtnemer en Deelnemer elkaar binnen 15 minuten op de hoogte te stellen. Opdrachtnemer heeft 30 minuten de tijd om tegenmaatregelen inclusief planning voor te stellen. Na akkoord van de Deelnemer dient Opdrachtnemer conform de geaccordeerde planning de maatregelen te implementeren. Gedurende de (D)DoS aanval hebben Deelnemer en Opdrachtnemer intensief contact of de tegenmaatregelen effectief zijn en of aanvullende maatregelen vereist zijn. Na afloop van de (D)DoS-aanval informeert de Opdrachtnemer de Deelnemer en vraagt hij de Deelnemer om toestemming om de situatie van voor de aanval te herstellen. Na afloop van de (D)DoS aanval dient Opdrachtnemer binnen 2 werkdagen de aanval te evalueren. Indien er verbeterpunten worden gesignaleerd dient Opdrachtnemer binnen 4 werkdagen verbetervoorstellen te formuleren. De verbetervoorstellen dienen voorzien te zijn van een planning. Opdrachtnemer rapporteert in de frequentie zoals overeengekomen met de Deelnemer over de implementatie van de verbetervoorstellen. De Opdrachtnemer dient na 5 werkdagen na de aanval de rapportage over de aanval beschikbaar te stellen aan Deelnemer. 17 december 2013 Pagina 11 van 15

12 <15min <30min Detectie aanval Deelnemer / Opdrachtnemer confirmeren van aanval Maatregelen inclusief planning voorstellen aan Deelnemer Conform planning? Nee Deelnemer akkoord met voorstel? Ja Implementeren en activeren maatregel Monitoren effectiviteit oplossing 15min cyclus Informeren Deelnemer <2 Werkdagen Nee Ja Nee Aanvullende maatregelen vereist? Nee Aanval voorbij? Ja Deelnemer akkoord afbouwen maatregelen? Ja Herstel situatie voor aanval/bedreiging Evaluatie aanval/bedreiging <4 Werkdagen Nee Verbeterpunten n.a.v. evaluatie? Ja <5 Werkdagen Verbetervoorstel formuleren Rapporteren Einde 17 december 2013 Pagina 12 van 15

13 3.4. en op gebied van Internettoegang 1 Algemeen 1.1 Het Levergebied van de Diensten beslaat het gehele Nederlandse grondgebied exclusief de BES-eilanden. 1.2 De Opdrachtnemer is verplicht alle Diensten zoals genoemd in de Tarieflijst te leveren in het Levergebied. 1.3 De Dienst bestaat uit minimaal de volgende componenten: - acceslijn tussen locatie van een Deelnemer en het netwerk van de aanbieder; - bandbreedte voor internetverkeer middels een poort op het netwerk van de aanbieder. 1.4 De Opdrachtnemer levert transparante toegang tot het Internet. Dit betekent dat alle op IP-gebaseerde protocollen over de verbinding getransporteerd moeten kunnen worden. 1.5 De Opdrachtnemer dient een extra hoge beschikbaarheid te kunnen leveren op alle locaties in het Levergebied. 1.6 De Opdrachtnemer dient met opgave van het gegarandeerde beschikbaarheidpercentage extra hoge beschikbaarheid te kunnen aanbieden middels oplossingen via gescheiden fysieke infrastructuurpaden, van één of twee opdrachtnemerlocaties naar één of twee deelnemerlocaties. 1.7 De Opdrachtnemer dient SNMP-toegang tot eindapparatuur op de Aansluitpunten voor monitoring en het uitlezen van gebruiksstatistieken te ondersteunen. 1.8 De Opdrachtnemer dient IPv4 te ondersteunen. 1.9 De Opdrachtnemer dient dual stack (IPv4 / IPv6) te ondersteunen De Opdrachtnemer dient IPv6 te ondersteunen. 2 Routering 2.1 De Opdrachtnemer dient het gebruik van statische routering te ondersteunen. 2.2 De Opdrachtnemer dient het gebruik van het BGP4-protocol te ondersteunen voor de uitwisseling van de routeringsinformatie tussen het netwerk van de Deelnemer en het netwerk van de Opdrachtnemer in zowel een multihomed-as- als stub-as-situatie. 2.3 De Opdrachtnemer dient een multi-homed aansluiting voor deelnemer te ondersteunen op basis van het BGP-4 protocol, waarbij de deelnemer gebruik maakt van een eigen Autonomous System (AS) nummer. 2.4 De Opdrachtnemer registreert voor de Deelnemer de routing policies bij de Routing Registry (RR). De Opdrachtnemer registreert geen routering bij de RR als deelnemer een eigen IP range heeft, dan doet de deelnemer dit zelf. 2.5 De Opdrachtnemer biedt BGP-4 feed bestaande uit de volledige routering en een default gateway aan. 2.6 De Opdrachtnemer is in staat om routefiltering reactief toe te passen. 2.7 De Opdrachtnemer dient op minstens 2 verschillende Internet Exchanges aangesloten te zijn waaronder de AMS-IX. 2.8 Het moet voor Deelnemer mogelijk zijn om met twee Opdrachtnemers redundante Internet Access-functionaliteit te realiseren. 2.9 De Opdrachtnemer dient mee te werken aan verzoeken van de Deelnemer om de uitvoeringsvorm aan te passen in het geval de Deelnemer specifieke beschikbaarheid eisen heeft voor die locatie. 17 december 2013 Pagina 13 van 15

14 3 Anti-(D)DoS Denial-of-service aanvallen (DoS-aanvallen) en distributed denial-ofservice aanvallen (DDoS-aanvallen) zijn pogingen om een computer, computernetwerk of dienst van de Deelnemer geheel of gedeeltelijk onbruikbaar en of onbereikbaar te maken. 3.1 Algemeen Opdrachtnemer dient (D)DoS-aanvallen op alle lagen van het OSI-model waar potentieel aanvallen op kunnen worden uitgevoerd te kunnen identificeren, isoleren en opschonen voordat een (D)DoS-aanval de infrastructuur van de Deelnemer bereikt De anti-(d)dos dienstverlening vindt plaats buiten de infrastructuur van de Deelnemer Het isoleren en opschonen van het verkeer van de Deelnemer dient plaats te vinden op Nederlands grondgebied De Opdrachtnemer mag de payload niet bekijken, niet opslaan, niet verveelvoudigen behalve indien de Deelnemer hier expliciet toestemming voor geeft De Opdrachtnemer dient aan te geven tegen welke aanvallen de Deelnemer niet beschermd is indien de Deelnemer geen toestemming heeft gegeven om de payload te bekijken, op te slaan en of te verveelvoudigen De Opdrachtnemer dient Geschoond Verkeer te kunnen leveren conform de Tariefsitems uit de Tarieflijst De Opdrachtnemer dient data te verzamelen over het verloop van de (D)DoS-aanval bedreiging Opdrachtnemer biedt een online portal waar de Deelnemer de aanval kan monitoren De Opdrachtnemer dient op verzoek van de Deelnemer de verzamelde data over de (D)DoS-aanval aan de Deelnemer ter beschikking te stellen. 3.2 Proces Toelich ting De Opdrachtnemer zorgt voor (D)DoS detectie De Opdrachtnemer monitort de internetverbinding van de Deelnemer actief op (D)DoS aanvallen 24 * De Opdrachtnemer dient in overeenstemming met de Deelnemer het Normaal Verkeer te bepalen De Opdrachtnemer en de Deelnemer stellen elkaar in geval van een (D)DoS-aanval binnen 15 minuten op de hoogte De Opdrachtnemer dient binnen 30 minuten na detectie van de (D)DoSaanval maatregelen voor te bereiden en deze inclusief planning ter goedkeuring voor te leggen aan de Deelnemer De Opdrachtnemer betrekt bij het afweren van (D)DoS-aanvallen op verzoek van de Deelnemer andere, door Deelnemer aangewezen instanties De Opdrachtnemer dient na goedkeuring van de Deelnemer conform overeengekomen planning de maatregelen te implementeren en te activeren Als een (D)DoS aanval wordt waargenomen, moet altijd in overleg met de Deelnemer worden besloten om een gedeelte of gehele internet verkeer om te leiden naar een mitigatie centrum ( wasstraat ) De Opdrachtnemer dient het verloop van de aanval en de effectiviteit van de geïmplementeerde maatregelen te monitoren De Opdrachtnemer informeert de Deelnemer frequent over het verloop van de aanval en stemt intensief af of de genomen maatregelen effectief zijn en of additionele maatregelen vereist zijn De Opdrachtnemer dient na de aanval in overleg met de Deelnemer de oude situatie conform de overeengekomen planning te herstellen De Opdrachtnemer dient direct na herstel van de oude situatie te starten met een evaluatie. 17 december 2013 Pagina 14 van 15

15 De Opdrachtnemer heeft 2 Werkdagen de tijd na de (D)DoS-aanval om de evaluatie van de (D)DoS aanval af te ronden en hierover te rapporteren aan de Deelnemer. Uit de evaluatie dient de wijze en het verloop van de (D)DoS-aanval en de effectiviteit van de anti-(d)dos maatregelen naar voren te komen Indien uit de evaluatie blijkt dat de genomen anti-(d)dos maatregelen onvoldoende effectief waren, dient de Opdrachtnemer binnen 4 Werkdagen na de (D)DoS-aanval, een adequaat verbeterplan op te stellen Het anti-(d)dos verbeterplan dient voorzien te zijn van een planning waarin de verbeteringen worden doorgevoerd en dient ter acceptatie te worden voorgelegd aan de Deelnemer. De Opdrachtnemer rapporteert periodiek (frequentie wordt door de Deelnemer bepaalt) over de voortgang van de realisatie van het anti-(d)dos verbeterplan De Opdrachtnemer verstrekt Deelnemer alle benodigde informatie over de (D)DoS-aanval die nodig is om aangifte te doen bij de daartoe aangewezen instantie De Opdrachtnemer dient opgedane kennis en ervaring met (D)DoSaanvallen bij de Deelnemer en de genomen tegenmaatregelen te delen met de Deelnemer Het staat de Deelnemer vrij opgedane kennis en ervaring van de Opdrachtnemer met (D)DoS-aanvallen bij de Deelnemer en de genomen tegenmaatregelen, te delen met de andere Deelnemers, daartoe geëquipeerde instanties en de andere opdrachtnemers met een Raamovereenkomst op dit perceel De Opdrachtnemer dient na een (D)DoS-aanval data over de (D)DoSaanval aan te leveren conform de bijlage rapportage Een Deelnemer dient periodiek een test uit te kunnen voeren waarmee wordt getoetst of de (D)DoS-oplossing naar behoren functioneert. Deze test kan ook betrekking hebben op de procedures De Opdrachtnemer dient per aanval soort aan te geven wat de Time to Mitigate is De Deelnemer moet direct met een deskundige in contact kunnen treden zonder tussenkomst van een helpdesk De Deelnemer bepaalt wanneer de Anti-(D)DOS maatregelen mogen worden ingezet De Opdrachtnemer mag geen limiet stellen aan het verwerken van het aantal aanvallen of de omvang van deze aanvallen De Opdrachtnemer stelt zich pro-actief op om beveiligingsrisico s vanuit Internet maximaal te reduceren. Enkele Deelnemers zijn 7x 24 uur operationeel en werken nauw samen met diverse nationale en internationale CERT s (Computer Emergency Response Teams). De Deelnemer ziet intensieve samenwerking met CERT s als cruciaal om tot een effectieve beveiliging van haar netwerken te komen. Aan Diensten van Opdrachtnemer voor de Internettoegang dienstverlening aan de Deelnemer worden daarom hoge eisen gesteld, teneinde de beveiligingsketen zo sterk mogelijk te houden De Opdrachtnemer geeft inzage in zijn toe te passen Anti-(D)DOS oplossingen middels een bijlage De Opdrachtnemer dient zich voortdurend op de hoogte te stellen van nieuwe soorten (D)DoS aanvallen en de bijpassende tegenmaatregelen te implementeren. 17 december 2013 Pagina 15 van 15