facebook LinkedIN LinkedIN - follow
IT Security , IT Security

Rozhovor: Zdeněk Brůna, Active 24

„Četnost a intenzita DoS útoků se zvyšují“



Active 24V březnu 2013 český internet čelil rozsáhlým DoS útokům. Jaká je situace v této oblasti rok poté? Zeptali jsme se Zdeňka Brůny, technického ředitele společnosti Active 24, která patří mezi zakladatele projektu Bezpečná VLAN, jejímž cílem je právě ochrana před dopadem DoS útoků.


alými DoS útoky se jako webhostingový poskytovatel potýkáme poměrně často, třeba i několikrát do měsíce. Rozsáhlejší incidenty se naštěstí vyskytují jen několikrát do roka. Poslední takový jsme zaznamenali loni v listopadu. Menší útoky dokážeme efektivně odrazit tak, že to nikdo ani nezaznamená, a tedy se o nich nikde nepíše, s těmi většími se většinou potýká více subjektů, jejich dopady jsou viditelné, a tedy i mediálně zajímavé. Prevence proti útokům typu DDoS/DoS, ale i boj s nimi nás každoročně stojí obrovské prostředky. Určitě totiž platí, že četnost a intenzita útoků se zvyšují. Aby ne, když lze takový útok pořídit velmi levně z každého mobilního telefonu.


Znamená to tedy, že se máme obávat ještě horších útoků?
Česká republika je naštěstí mimo nejbouřlivější DoS destinace. Těmi jsou například státy jihovýchodní Asie nebo Ameriky, kde se DoS nebo DDoS používá jako jedna z „běžných“ metod konkurenčního boje. Nicméně i my jsme podobné útoky již zaznamenali. Sledujeme, že lépe již bylo a zvyšování naší odolnosti vůči útokům typu DDoS/DoS se systematicky věnujeme již řadu let. Standardních metody, kdy internetový poskytovatel posiloval hraniční síťové prvky a kapacitu linek, již dnes ani zdaleka nestačí. Tato „hardwarová“ opatření je nutné doplnit o další, která dále zvyšují šance na úspěšnou eliminaci útoků.


Jaká opatření máte na mysli?
Je jich celá řada, uveďme například princip RTBH (remotely-triggered black hole filtering). Pomocí této účinné zbraně na bázi protokolu BGP dokážete od své sítě odříznout nežádoucí provoz (typicky DoS) pocházející z cizí sítě. Konkrétně v našem případě bývá zdroj útoků velmi často v nějaké zahraniční síti, do které je běžný provoz minimální. Odříznutí provozu do takové sítě nás tedy dokáže ochránit před dopady DoS a přitom to drtivé většině našich zákazníků vůbec nevadí. Je to stejné, jako kdybyste chytl ošklivou infekci do špičky malíčku u nohy, která by se mohla rychle rozšířit do celého prstu, následně do celé končetiny a nakonec vás zahubit. Když lékař nabídne řešení, že zachrání život odříznutím jednoho článku zmíněného malíčku, zřejmě tuto nabídku přijmete. RTBH má oproti odříznutému malíčku jednu velkou výhodu, dočasné odříznutou síť lze později zase bez problémů připojit.

Dalším důležitým opatřením je ochrana proti DNS (nebo dnes populárnějšímu NTP) amplification. Při tomto typu útoku útočník pomocí malých dotazů na DNS (NTP) systém generuje objemné odpovědi a zasílá je podvrženému příjemci, jehož chce tímto zahltit. Můžeme si pomoct tím, že zakážeme nespravované otevřené resolvery a naimplementujeme response rate limiting. Posledním dobrým příkladem, který uvedu, může být využití standardu BCP38. Pokud poskytovatel ctí principy tohoto standardu, filtruje odchozí provoz ze své sítě tak, aby zabránil odesílání paketů s podvrženou hlavičkou odesílatele (IP spoofing) a tím i šíření DoS.
 

Active 24


Poslední dva uvedené příklady mají jedno společné, zabraňují zneužití infrastruktury při šíření a zesilování DoS útoků. Pokud by je používala většina ISP, drtivé množství těch nejsilnějších DDoS útoků by vůbec nebyla principiálně možná. Jejich zavedením nechráníme ani tak svoji síť, jako spíše sítě sousední. Možná proto je využití těchto opatření zatím málo obvyklé, a to i přes to, že jsou tato opatření známá již řadu let.

Zcela elementární zásadou je být na útok připraven. Mít zdokumentované a nacvičené postupy jejich řešení, vědět, co dělat. Pokud začnu řešit, jak s útokem naložit, až ve chvíli, kdy začne, je to příliš pozdě.


Možných opatření je tedy hodně, dokáže mi někdo pomoci, jaká v konkrétních případech aplikovat?
Možná opatření jsou jedna věc, tou druhou je jejich konkrétní implementace do svých sítí, a v případě administrativních opatření také obecně do svých organizací. U nás má na starosti tuto agendu CSIRT tým, jinde to mohou být síťoví správci, někde se tato oblast neřeší vůbec. Ve většině případů je ale nutné tato opatření vyžadovat po svém poskytovateli připojení nebo třeba webhostingu. Ti jsou buď přímo nebo přes dalšího prostředníka připojeni do českého peeringového uzlu NIX.CZ, na jehož půdě vznikl začátkem února 2014 klub bezpečných poskytovatelů internetových služeb, který se sdružil do tzv. Bezpečné VLAN. Členství v tomto VIP klubu je podmíněno splněním celé řady bezpečnostních opatření, která byla zakládajícími členy určena jako ta nejdůležitější pro zvýšení bezpečnosti internetového provozu. Tady bych tedy hledal inspiraci.


Bezpečná VLAN? To zní hodně technicky… Co to znamená?
Ano, název je technický, protože celá aktivita vznikla v hlavách techniků, kteří se zabývají bezpečností síťového provozu, a ti na líbivá pojmenování moc nejsou. Důležitý je cíl, který si tento projekt klade. Bezpečná VLAN slouží jako nouzový prostředek vzájemné komunikace členů a zákazníků sdružení NIX.CZ s vysokým prvkem důvěry a zabezpečení pro případ masivních útoků na internetovou infrastrukturu. Smyslem vzniku BV je umožnit spojení poslední šance (last resort) v případě, že se infrastruktura člena BV stane cílem útoku. Představme si opět zmíněnou paralelu se smrtelnou nákazou šířící se z malíčku. Bezpečná VLAN se připravuje na situaci, kdy se nákaza rychle z malíčku rozšíří do oblasti lýtka a bude třeba amputovat nohu v koleni, aby byl zachován život internetového provozu. V extrémním případě bude fungovat spojení jen mezi členy Bezpečné VLAN, ale bude fungovat alespoň něco. Že tato situace ještě nenastala? Buďme rádi, ale připravme se na ni a zvyšme bezpečnost našich sítí, ale také naši schopnost řešit případné incidenty, komunikovat s peeringovými partnery. Bezpečná VLAN totiž nevyžaduje pouze zlepšení technických nastavení, ale také těch administrativních. Někdy je totiž jednodušší použít RTBH než sehnat odpovědného specialistu, který je schopný a oprávněný provést účinný zásah ve svěřené napadené síti nebo poskytnout informace, které pomohou vyřešit bezpečnostní incident.


A jak si tato zvýšená bezpečnostní opatření vynutíte?

Správná otázka. NIX.CZ, který jako sdružení provozuje propojovací platformu na druhé úrovni modelu ISO/OSI a podle svých stanov, provozního řádu a svého účelu nemá možnost zasahovat do ISO/OSI vrstev vyšší úrovně než druhé, nemohl po svých členech chtít, aby začali dodržovat vyšší bezpečnostní standardy. Tedy teoreticky by to samozřejmě možné bylo, ale prosazovat takto rozsáhlé změny ve spolku, který sdružuje více než sto subjektů, by bylo velmi komplikované. Daleko jednodušší bylo zvolit cestu dobrovolného zapojení do projektu Bezpečné VLAN. 


Dobrovolného? A myslíte, že to bude fungovat?
Nepochybně ano. Splnit všechny nutné podmínky pro vstup do Bezpečné VLAN sice není jednoduché, subjekty, které se o to pokusí, to jistě bude stát větší či menší úsilí, dle toho, zda se bezpečnosti věnují nahodile nebo dlouhodobě. Ale nesmíme zapomínat na to, že členství v tomto exkluzivním klubu již nyní svým členům přináší možnost komunikovat a prokázat svým zákazníkům, že pro jejich bezpečnost dělají něco víc než je obvyklý standard. Takže lze čekat, že počet současných šesti členů, se brzy rozšíří. Víme o několika dalších firmách, které v současné době usilovně pracují na splnění všech potřebných podmínek. A čím více bude v Bezpečné VLAN zapojených subjektů, tím větší smysl má.


A kolik má nyní členů?
Zakládajících členů je šest. Jsou jimi Active 24, CESNET, CZ.NIC, Dial Telecom, Seznam.cz a Telefónica ČR.


To je velmi málo, neoslabuje to smysl Bezpečné VLAN?
Ano, máte pravdu, šest není mnoho, i když se jedná o velmi významné subjekty působící na českém internetu. Zastupují ale jak svět poskytovatelů připojení (Dial Telecom a Telefónica) a poskytovatele obsahu (Active 24 a Seznam.cz), tak akademickou sféru (CESNET) a v neposlední řadě i provozovatele centrálního registru domén CZ (CZ.NIC). Všechny zmíněné firmy silou svých značek zvyšují význam Bezpečné VLAN, a tedy i zájem ostatních do ní vstoupit, což je zakládajícími členy samozřejmě vítáno. Zvětší se tak síť poslední záchrany a v případě rozsáhlého DoS útoku bude ještě více subjektů disponovat alespoň nějakým připojením k internetu. Čím více členů bude Bezpečná VLAN mít, tím účinněji zafungují bezpečnostní opatření a tím menší dopad bude případný rozsáhlý DoS útok znamenat. Přirozeným zájmem všech významných hráčů na českém internetu, ale také třeba bank nebo důležitých státních organizací, by tedy měl být vstup do Bezpečné VLAN.


Takže si myslíte, že se konečně našel účinný lék na DoS útoky?
Tak jednoduché to nebude. Než se dostaneme do situace, kdy vyšší bezpečnostní standardy dodržuje alespoň polovina z nich, uplyne mnoho měsíců, nebo možná i let. Proti chřipce se také nikdy nenechají očkovat úplně všichni. Stále tedy platí, že jediným opatřením (i když Bezpečná VLAN je celým souhrnem takových opatření) se dobře ochránit nedá. Bezpečná VLAN je ale rozhodně aktivita, která v této oblasti výrazně pomůže. Poskytla návod, jak se oproti DoS lépe chránit. Již to samo o sobě je velkým přínosem, zejména pro subjekty, které se o bezpečnost svého připojení příliš nezajímají, nevědí, kde mají informace hledat.


Co byste doporučil koncovým uživatelům, kterým není bezpečnost lhostejná?
Těm technicky zdatným bych rozhodně doporučil přečíst si pravidla pro připojení do Bezpečné VLAN. Jsou dostupná na stránkách sdružení NIX. I kdyby do svých sítí (organizací) zavedli jen některá ze zmíněných opatření, posunou se o kus dále. Obyčejným uživatelům nebo zákazníkům, kterých je drtivá většina, bych doporučil, aby se svých poskytovatelů připojení nebo hostingových služeb zeptali, zda jsou do projektu Bezpečná VLAN zapojeni. A pokud bude jejich odpověď negativní a ani o zapojení do Bezpečné VLAN neuvažují, doporučil bych změnit poskytovatele.

 

 

 

 

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Fortinet představil první bezpečné síťové řešení s podporou Wi-Fi 7

FortiAP 441KNový přístupový bod Wi-Fi 7 a 10gigabitový switch s podporou napájení PoE nabízí 2x vyšší rychlost a zvýšenou kapacitu v rámci integrovaného portfolia bezpečných pevných a bez­drá­to­vých řešení společnosti Fortinet.