NIX.CZ pracuje na ochraně před masivními DDoS útoky

Už žádné DDoS útoky, jakým český internet čelil letos v březnu. Národní internetový uzel NIX pracuje na opatřeních, které mají zvládnout mnohem větší nápor.

Český národní internetový uzel NIX.CZ plánuje výrazně zabezpečit tuzemské internetové sítě tak, aby co možná nejlépe odolaly podobným DDoS útokům, které letos v březnu odstavily webové služby velkých mediálních domů, mobilních operátorů či bank. Vedení NIXu rozeslalo členům a zákazníkům uzlu pětistránkový dokument s návrhy, jak situaci řešit. Bezpečnost byla i hlavním tématem včerejší pracovní skupiny NIXu, na níž se sešli zástupci významných internetových poskytovatelů a provozovatelé webových služeb.

„Nedávné útoky typu DoS na některé exponované cíle v České republice jasně prokázaly, že bezpečnostní situace českých internetových sítí není na optimální úrovni a existuje značný prostor pro zlepšení,“ píše ve zprávě jménem zdejšího peeringového centra šéf CZ.NIC a člen představenstva NIXu Ondřej Filip. Právě Filip je hlavním předkladatelem nových bezpečnostních návrhů. Jeden z nich má být připraven i na útoky takového rozsahu, které „v Česku ještě nebyly“.

„Měli bychom udělat něco my, než to něco udělá stát nebo Evropská unie,“ uvedl Filip na pracovní skupině NIXu. „Současná situace nahrává možných regulacím ze strany státu,“ upozornil. Vedení NIXu, kde se sbíhají internetové linky tuzemských internetových providerů a poskytovatelů webových služeb, tak chce předejít tomu, aby případný zákon, směrnice nebo nařízení podobným subjektům určovaly, jaké procesy a technologie zavést. EU už ostatně kybernetický bezpečnostní prostor začíná regulovat například tím, že po firmách chce, aby útoky na své IT systémy hlásily do jednotného centra v Europolu.

Oddělení sítě

NIX svým členům a zákazníkům navrhuje 2 možná řešení. Tím prvním je zavedení takzvaného RTBH, díky kterému může napadená síť bez pomoci ostatních partnerů v peeringovém centru nastavit filtrování, jenž dokáže snížit dopady probíhajícího DDoS útoku. Druhé opatření pak počítá s využitím nové virtuální LAN sítě (VLAN), kam by se připojovaly subjekty (internetoví poskytovatelé a podobně) splňující náročné podmínky. Taková VLAN by se pak v případě útoků „odstřihla“ od zbytku a zůstala by tak mimo útok.

Klepněte pro větší obrázek
Návrh opatření v NIXu. Zdroj: NIX.CZ

„S ohledem na fakt, že velká část útoků tohoto typu bývá vedena ze zahraničních sítí a naopak drtivá většina uživatelů i klíčových internetových služeb využívá sítě českých poskytovatelů, může národní propojovací uzel NIX.CZ napomoci při zmírňování dopadů těchto útoků,“ uvádí dále zpráva.

Toto navrhované řešení v podstatě všichni přítomní členové a zákazníci NIXu podpořili a budou se jím i nadále zabývat. Podle Ondřeje Filipa mimo jiné zvládne mnohem větší DDoS útoky, než kterým české sítě čelily v březnu. „Měli bychom díky tomu zvládnout útoky, které v Česku ještě nebyly,“ tvrdí Filip.

Mnozí poskytovatelé internetu a služeb s funkčností navrhovaného řešení souhlasí. „Byli jsme cílem oněch březnových útoků, a pokud by tehdy takové řešení existovalo, hodně by nám pomohlo,“ zmínili se například zástupci České spořitelny. „Když DDoS útoky přišly, ukázalo se, že jsme naprosto bezzubí,“ navázali zástupci společnosti Mafra provozující například iDnes.cz.

Členové nové VLAN sítě by měli splňovat náročné požadavky, ať už technického rázu (DNSSEC, IPv6, routing a podobně), ale také z pohledu reputace či aktivity. „Podmínky bychom hned ze začátku měli nastavit hodně vysoko, další se pak přidávají velmi těžko,“ konstatoval šéf Laboratoří CZ.NIC Ondřej Surý.

NIX zároveň navrhuje na tyto aktivity navrstvit marketingovou činnost. Měla by například vzniknout jakási „nálepka“ typu „bezpečný poskytovatel“. To by podle Ondřeje Filipa mohlo do NIXu přitáhnout nové zákazníky a členy, například velké bankovní domy.

Vedle NIXu vyvinul aktivitu také Národní bezpečnostní úřad (NBÚ), který po letošních útocích sestavil speciální komisi, která má na případné útoky na firemní sítě přijít s rychlým řešením. Členy jsou nejenom ministerstva, policie, armáda, ČTÚ, ale také velcí hráči jako Seznam, GTS, Telefónica, ČEZ či ČSOB (více v našem dřívějším článku). DDoS útoky se zabývají také na brněnském VUT.

Témata článku: Internet, Bezpečnost, DDoS

4 komentářů

Nejnovější komentáře

  • Michal Ostrihoň 19. 9. 2013 23:28:28
    Vzdy ked citam, ze niekto nasiel ochranu proti DDoS, tak sa na tom dobre...
  • X 19. 9. 2013 15:15:25
    NIX + NBÚ = cenzura a špehování
Určitě si přečtěte

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

** Zmizí klasické vyhledávače ** Budeme programovat buňky ** Kvantové počítače překonají šifry

Včera | Čížek Jakub | 27

Reforma v ochraně osobních dat je pro firmy výzva  i příležitost vylepšit vlastní systémy

Reforma v ochraně osobních dat je pro firmy výzva i příležitost vylepšit vlastní systémy

** Za méně jak rok a půl vstoupí v platnost Obecné nařízení na ochranu osobních údajů ** Jedná se o aktuálně nejkomplexnější soubor pravidel na ochranu da

Včera | TechNet Microsoft | 1