Už žádné DDoS útoky, jakým český internet čelil letos v březnu. Národní internetový uzel NIX pracuje na opatřeních, které mají zvládnout mnohem větší nápor.
Český národní internetový uzel NIX.CZ plánuje výrazně zabezpečit tuzemské internetové sítě tak, aby co možná nejlépe odolaly podobným DDoS útokům, které letos v březnu odstavily webové služby velkých mediálních domů, mobilních operátorů či bank. Vedení NIXu rozeslalo členům a zákazníkům uzlu pětistránkový dokument s návrhy, jak situaci řešit. Bezpečnost byla i hlavním tématem včerejší pracovní skupiny NIXu, na níž se sešli zástupci významných internetových poskytovatelů a provozovatelé webových služeb.
„Nedávné útoky typu DoS na některé exponované cíle v České republice jasně prokázaly, že bezpečnostní situace českých internetových sítí není na optimální úrovni a existuje značný prostor pro zlepšení,“ píše ve zprávě jménem zdejšího peeringového centra šéf CZ.NIC a člen představenstva NIXu Ondřej Filip. Právě Filip je hlavním předkladatelem nových bezpečnostních návrhů. Jeden z nich má být připraven i na útoky takového rozsahu, které „v Česku ještě nebyly“.
„Měli bychom udělat něco my, než to něco udělá stát nebo Evropská unie,“ uvedl Filip na pracovní skupině NIXu. „Současná situace nahrává možných regulacím ze strany státu,“ upozornil. Vedení NIXu, kde se sbíhají internetové linky tuzemských internetových providerů a poskytovatelů webových služeb, tak chce předejít tomu, aby případný zákon, směrnice nebo nařízení podobným subjektům určovaly, jaké procesy a technologie zavést. EU už ostatně kybernetický bezpečnostní prostor začíná regulovat například tím, že po firmách chce, aby útoky na své IT systémy hlásily do jednotného centra v Europolu.
Oddělení sítě
NIX svým členům a zákazníkům navrhuje 2 možná řešení. Tím prvním je zavedení takzvaného RTBH, díky kterému může napadená síť bez pomoci ostatních partnerů v peeringovém centru nastavit filtrování, jenž dokáže snížit dopady probíhajícího DDoS útoku. Druhé opatření pak počítá s využitím nové virtuální LAN sítě (VLAN), kam by se připojovaly subjekty (internetoví poskytovatelé a podobně) splňující náročné podmínky. Taková VLAN by se pak v případě útoků „odstřihla“ od zbytku a zůstala by tak mimo útok.
Návrh opatření v NIXu. Zdroj: NIX.CZ
„S ohledem na fakt, že velká část útoků tohoto typu bývá vedena ze zahraničních sítí a naopak drtivá většina uživatelů i klíčových internetových služeb využívá sítě českých poskytovatelů, může národní propojovací uzel NIX.CZ napomoci při zmírňování dopadů těchto útoků,“ uvádí dále zpráva.
Toto navrhované řešení v podstatě všichni přítomní členové a zákazníci NIXu podpořili a budou se jím i nadále zabývat. Podle Ondřeje Filipa mimo jiné zvládne mnohem větší DDoS útoky, než kterým české sítě čelily v březnu. „Měli bychom díky tomu zvládnout útoky, které v Česku ještě nebyly,“ tvrdí Filip.
Mnozí poskytovatelé internetu a služeb s funkčností navrhovaného řešení souhlasí. „Byli jsme cílem oněch březnových útoků, a pokud by tehdy takové řešení existovalo, hodně by nám pomohlo,“ zmínili se například zástupci České spořitelny. „Když DDoS útoky přišly, ukázalo se, že jsme naprosto bezzubí,“ navázali zástupci společnosti Mafra provozující například iDnes.cz.
Členové nové VLAN sítě by měli splňovat náročné požadavky, ať už technického rázu (DNSSEC, IPv6, routing a podobně), ale také z pohledu reputace či aktivity. „Podmínky bychom hned ze začátku měli nastavit hodně vysoko, další se pak přidávají velmi těžko,“ konstatoval šéf Laboratoří CZ.NIC Ondřej Surý.
V Česku se rozjíždí druhý internetový uzel
NIX zároveň navrhuje na tyto aktivity navrstvit marketingovou činnost. Měla by například vzniknout jakási „nálepka“ typu „bezpečný poskytovatel“. To by podle Ondřeje Filipa mohlo do NIXu přitáhnout nové zákazníky a členy, například velké bankovní domy.
Vedle NIXu vyvinul aktivitu také Národní bezpečnostní úřad (NBÚ), který po letošních útocích sestavil speciální komisi, která má na případné útoky na firemní sítě přijít s rychlým řešením. Členy jsou nejenom ministerstva, policie, armáda, ČTÚ, ale také velcí hráči jako Seznam, GTS, Telefónica, ČEZ či ČSOB (více v našem dřívějším článku). DDoS útoky se zabývají také na brněnském VUT.
NBÚ zřídil speciální komisi pro kybernetickou bezpečnost
Martin Semrád: Jak propojujeme český internet
