V reakci na masivní DDoS útoky vzniknul v rámci NIX.CZ projekt FENIX, který má garantovat svým členům bezpečnost a relativní odolnost vůči útokům. Bude český internet připravený na další útoky, které určitě přijdou?
Před rokem a půl, v březnu 2013, zaznamenal český internet masivní DDoS útok. Po čtyři dny se staly terčem zpravodajské a mediální weby, internetová bankovnictví, mobilní operátoři a servery Seznamu. Přestože DDoS útoky nejsou na českém internetu novinkou a v předvánočním čase patří ke koloritu konkurenčního boje malých e-shopů, takto rozsáhlý útok české ISP a především provozovatele služeb zastihnul nepřipravené.
Některé služby byly během útoky nedostupné a nešlo jen o webové servery. Chvíli nefungovaly dokonce i některé systémy platebních karet a jistě i spousta e-commerce a bankovních řešení, které nejsou navenek vidět a provozovatelé o výpadcích radši neinformovali. Útoky se řešily i na úrovní národního bezpečnostního týmu CSIRT.CZ a Národního bezpečnostního úřadu (Národního centra kybernetické bezpečnosti).
Útoky přicházely ze zahraniční, ze zfalšovaných adrese, ze zdrojů, které žádným způsobem neodpovídaly. Problémem při filtrování zahraničního provozu bylo, že provoz tekl přes NIX.CZ, jehož členy jsou i provideři, kteří propagují zahraniční prefixy. Proto se provoz hůře filtroval. Přesto, že provideři spolu komunikovali a snažili se útoky filtrovat a řešit, neexistovala pravidla a dohodnuté postupy.
Po odeznění útoků se rozhodly některé zainteresované strany problematiku řešit a připravovat na další podobný útok. Vyvolat DDoS útok je totiž velmi snadné a levné a proto není otázkou, zda k dalšímu útoku dojde, ale kdy k němu dojde. Přestože útok z loňského jara byl dostatečně zničující, podle odborníků šlo pouze o test, který měl zjistit, jak jsou čeští ISP, provozovatelé služeb a bezpečnostní týmy připravené.
Z DDoS útoku povstal projekt FENIX
Na neutrální půdě NIX.CZ tak vzniknul projekt Bezpečná VLAN, který se od ledna tohoto roku jmenuje FENIX. A už dva týdny má nový web fe.nix.cz, přijal také dva nové členy. Podle Martina Semráda, ředitele NIX.CZ, vzniknul projekt FENIX dobrovolně dříve, než by něco podobného bylo nařízeno ze strany státu nebo EU. Protože by bylo jen otázkou času, kdy by se tak stalo a členové projektu nechtěli čekat, až jim někdo něco podobného nařídí.
Cílem projektu FENIX je být platformou, která zajistí v případě ohrožení dostupnost českých služeb pro české uživatele internetu. V případě zahraničního masivního útoku by tak v České republice měly být – byť možná v omezeném režimu – dostupné zpravodajské portály, média, bankovní služby, e-commerce apod. A to po celou dobu, než útok ustane nebo se jej podaří odfiltrovat.
Projekt FENIX je v podstatě exkluzivní klub. Má poměrně přísné podmínky členství a kromě administrativních a technických podmínek je možné stát se členem klubu jen na doporučení již dvou existujících členů. Nové členy přitom nesmí nikdo z existujících členů vetovat. Takovýto přísný postup je ale nutný – platí totiž, že členové projektu FENIX si musí v oblasti síťové bezpečnosti maximálně důvěřovat a těžko by se jim spolupracovalo s někým, kdo není naladěný na podobnou vlnu a s kým se jim špatně komunikuje. Bez ohledu na to, jestli by splnil všechny technické požadavky. Přesné podmínky členství jsou v tomto dokumentu (PDF).
Zakládajícími členy projektu FENIX jsou Active24, CESNET, CZ.NIC, Dial Telecom, NIX.CZ, Seznam.cz a O2 Czech republic. Novými členy jsou pak Casablanca INT a ČD-Telematika. A co dalšího musí členové splnit, kromě toho, že jsou přímými členy NIX.CZ, nemají vůči sdružení nevyřešené závazky a jsou na jeho půdě aktivní?
Především musí všichni členové mít nastavená pravidla, která se přenáší až na koncové uživatele. V režimu 24/7 musí existovat technický kontakt, který má schopnosti a především pravomoc řešit technické záležitosti. Tedy žádný IVR systém, ale konkrétní člověk (tým), který je neustále dostupný. A samozřejmě musí mít každý člen certifikovaný CSIRT tým, zalistovaný u Trusted Introducer, Terena.
Technických požadavků je více, ale za nejdůležitější se požaduje implementace BCP-38, který zamezuje „kradení“ IP adres a propagaci jiných prefixů, než síť má. Pak je to filtrování RTBH na route serverech, tedy zahození provozu z určité sítě, ale přitom dostupnost cílové IP adresy pro ostatní sítě. Tato kombinace by měla zajistit, že útok nemůže být veden ze sítě ani prostřednictvím sítě zapojené do projektu FENIX. V tu chvíli bude možné přepnout zapojené sítě prostřednictvím VLAN v rámci NIX.CZ do „ostrovního“ režimu – tedy je odpojit od okolního světa, nezapojeného do projektu FENIX.
Dalšími technickými požadavky jsou (informace z přednášky Martina Semráda na konferenci Kam kráčí české telekomunikační sítě Srní 2014):
- BCP-38/SAC004 – granularita /24 (/48)
- RTBH využívající RS
- IPv6, DNSSEC – na důležitých doménách
- Plná redundance připojení do NIX.CZ
- Monitoring sítě (MRTG, NetFlow, …)
- Control plane policy RFC6192
- DNS, NTP, SNMP amplification protection
- Reakční čas na bezpečnostní incident <30min
- BGP – TCP MD5
[youtube]https://www.youtube.com/watch?v=YYgPRV8rNkk&list=UUZsnk2piMTpJkA5Uw6tPPwQ[/youtube]
V současnosti mají členové projektu otestované filtrování RTBH. Plánuje se test provozu jedné vybrané sítě v ostrovním režimu. Tento test je potřeba pečlivě naplánovat a připravit – o jeho průběhu nás jistě bude NIX.CZ informovat a my vás prostřednictvím bleskovek na našem serveru také.
Útoky typu DDoS jsou v principu velmi jednoduché. A dají se snadno objednat po internetu. Bohužel se s nimi nedá bojovat jinak než takový útočný provoz filtrovat, což vyvolává obrovské nároky na kapacitu – nejen datovou, ale i všech prvků, které se do filtrování zapojují. V zásadě platí, že jediným opatřením je mít větší kapacitu, která přesahuje schopnosti útočníka. A to nejde bez spolupráce jednotlivých ISP a provozovatelů služeb.
Problematika bezpečnosti internetových sítí se stává tématem
Na konferenci Kam kráčí české telekomunikační sítě v Srní se problematice ochrany před DDoS útoky (ale je to také problematika spamu a šíření malware a vzniku botnetů) věnovalo více přednášejících. Je to téma, kterému se začínají čeští ISP věnovat intenzivněji než v minulosti. Není se ale čemu divit – spousta provozovatelů e-shopů se svou konkurencí bojuje v předvánoční špičce tak, že za pár desítek dolarů objedná DDoS útok a namísto péče o zákazníka se „baví“ pohledem na nedostupné servery konkurence. Tomuto projekt FENIX nezabrání, ale zajistí, že servery, které budou umístěné u členů projektu, budou dostupnější v případě útoku.
Na poli marketingu čeká ještě projekt FENIX hodně práce. Má svoji vizuální identitu a členové jistě využijí své členství při získávání nových zákazníků. Ostatně ikony Připojen k důvěryhodné síti nebo Důvěryhodný operátor k tomu přímo vybízejí. Bude ale ještě dlouho trvat, než to začnou jako výhodu – ať už ze setrvačnosti nebo z neznalosti – vnímat i zákazníci. A to nejen ti, kteří připojují svoje servery, ale i ti běžní návštěvníci a uživatelé služeb. Problém špatně zabezpečených domácích počítačů sloužících jako botnety to nikdy vyřešit nemůže, ale u firem, které jsou dnes na datovém připojení závislejší, než to vůbec jejich management tuší, by podobné kritérium při výběru dodavatele telekomunikačních služeb roli hrát mělo.
Záznam přednášky Martina Semráda, ředitele NIX.CZ na konferenci Kam kráčí české telekomunikační sítě Srní 2014, najdete zde. Jeho prezentace je pak zde (PPTX).
Diskuze k článku