ISP: útoky řešíme stále a bude ještě hůř

Petr Krčmář 3. 6. 2013

Společnost GTS patří v Česku mezi největší poskytovatele připojení. Samozřejmě se jí přímo dotýkají velké internetové útoky, musí řešit DDoS na své zákazníky a nabízet jim různé způsoby ochran. Navštívili jsme pražské datacentrum Nagano, abychom se podívali na to, jak se dělá bezpečnost ve velké firmě.

Zamířili jsme do datacentra Nagano, které se nachází na pražském Žižkově, v ulici U Nákladového nádraží. Jde o jeden z nejdůležitějších uzlů GTS, takže je tu k vidění to podstatné: zařízení zajišťující bezpečnost velkých zákazníků.

Nabízíme i ICT služby, do kterých řadíme i služby spojené s bezpečností. Přesvědčujeme firmy, že se mají na bezpečnost dívat trochu komplexně a ne ji ‚vyřešit‘ antiviry na koncových stanicích, říká nám na úvod Milan Petrásek, který nás bude po datacentru provádět.

Seriál vznikl za přispění Národního CSIRT týmu České republiky CSIRT.CZ, který provozuje sdružení CZ.NIC, správce české národní domény. CSIRT.CZ je bezpečnostní tým pro koordinaci řešení bezpečnostních incidentů v počítačových sítích provozovaných v České republice. Cílem jeho členů je pomáhat provozovatelům internetových sítí v České republice zřizovat jejich vlastní bezpečnostní týmy a bezpečnostní infrastrukturu, řešit bezpečnostní incidenty a tím zlepšovat bezpečnost jejich sítí i globálního Internetu.

Základem je ochrana perimetru, ale nabízíme i ucelenější řešení, které je postavené na Linuxu a jeho součástí je třeba i mail server s různými ochranami, říká nám na začátku Milan Petrásek. Ukazuje nám v serverovně zařízení FortiGate, které integruje velké množství různých ochran před útoky zvenčí.

Zařízení pro ochranu perimetru

Zákazník může mít tenhle box u sebe nebo ho může nechat u nás, v každém případě se mu ale o něj staráme my, vysvětluje Petrásek. Firma nedávno začala nabízet podobnou službu i menším zákazníkům, kterým se vlastní hardware nevyplatí. Říkáme tomu Bezpečný internet a je to určeno pro rychlosti do 10 Mbit. Pak je možné celé řešení sdílet a zákazník tak má možnost výrazně snížit náklady, vysvětluje a dodává, že sdílené řešení je určené především pro SOHO segment.

Ochrana síťového perimetru ovšem není zdaleka tím jediným, co musí firmy při zajištění bezpečnosti řešit. Březnové DDoS útoky nás přiměly začít nabízet další řešení, týkající se vyšších síťových vrstev. To zahrnuje ochranu proti samotným DDoS útokům. Milan Petrásek nás vede k dalšímu racku, ve kterém leží zařízení s názvem FortiDDoS. Tímhle řešíme DDoS na poslední míli. Musí jít ale o toky do 1 Gbit, vysvětluje Petrásek. Jde o inline ochranu do linky zákazníka, který je pak před útokem chráněn, dodává a vysvětluje, že na každém boxu je připojen jeden, maximálně dva zákazníci.

Zařízení FortiDDoS

Ochranu před většími DDoS útoky představuje opatření na úrovni sítě operátora. Zařízení na to máme umístěná v Polsku a Rumunsku, případně používáme dedikované řešení a stavíme linky ke společnosti Prolexic, která je schopna DDoS útoku čelit. Náš průvodce nám vysvětluje, že jde o specializovanou firmu, která funguje jako „pračka“ na DDoS útoky. Vlastní velkou síť serverů, které dokáží přijmout ohromný datový tok a dodatečně jej filtrovat. Zvládnou prakticky libovolný DDoS útok, protože jejich celková kapacita je asi 800 Gbit a letos chtějí upgradovat na 2 Tbit.

V případě, že takový útok nastane, dokáže operátor do patnácti minut změnit BGP záznamy a přesměrovat provoz přes tuto společnost. Pro spoje k nim používáme buď přímo Ethernet nebo stavíme tunely, pokud není třeba garantovat latenci, zabíhá Petrásek do technických detailů. Odchozí provoz pak teče přes nás, ale příchozí jde přes Prolexic. Zákazník pak neplatí za velikost útoku, ale za čistou kapacitu po vyčištění, vysvětluje Petrásek. Dodává, že jde o poměrně nákladné řešení, které není možné mít zapnuté pořád, ale jen v případě, že skutečně už nastává problém. I tak je to řešení pro opravdu velké instituce, typicky třeba banky.

Milan Petrásek v data centru Nagano

Podle Milana Petráska se ale podoba DDoS útoků mění a jsou nasazovány stále sofistikovanější způsoby. Většina útoků dnes necílí na zahlcení linky, ale snaží se shodit samotný server. Je užitečnější útočit na vyšší vrstvy, protože k tomu nepotřebujete tak velký botnet, vysvětluje. Pak není potřeba zahltit třeba 10Gbit linky, ale stačí výrazně menší datový tok. Měli jsme tu DDoS, který měl 160 Mbit a stejně byl schopen vyřadit zákazníkovi web servery z provozu.

Tyto druhy útoků žádný firewall nezachytí a je proto potřeba nasadit sofistikovanější ochranu na úrovni aplikační vrstvy. Firmy dnes slyší na různé firewally či IPS, ale aplikační ochrany je zatím nezajímají. V současné době si zákazníci GTS mohou zaplatit za webový nebo databázový aplikační firewall. Bohužel o filtraci databáze je velmi malý zájem. Je to věc, kterou firmy zatím vůbec neřeší, posteskl si Petrásek.

Milan Petrásek popisuje funkci jednotlivých zařízení

Firma opět používá zařízení od americké společnosti FortiNet, která kombinují různé přístupy a snaží se odlišit běžný provoz od toho útočného. Využívá se například databáze IP adres napadených počítačů, geolokační databáze nebo snaha odlišit reálného uživatele od bota pomocí injektovaného JavaScriptu, vysvětluje nám princip Petrásek. Test na schopnost provádět JavaScript nemůže sloužit sám o sobě k rozhodnutí o zablokování uživatele, ale je jedním z faktorů rozlišení běžného uživatele od bota.

Podle Petráska útoků různého druhu bohužel přibývá a budoucnost v tomto směru nevypadá příliš růžově. Máme zkušenosti třeba z Rumunska, kde je velká penetrace optických linek do domácností. Prakticky všechny domácnosti jsou připojené 100Mbit linkou a hodně z nich i gigabitem. Domácnosti samozřejmě nedbají příliš na ochranu, což dohromady dává prostor k ohromným DDoS útokům, vysvětluje nám a tvrdí, že se v Rumunsku bez DDoS ochrany nedá podnikat. Měsíčně tam na naši síť probíhá 30 až 40 útoků. Většina jich má okolo gigabitu, ve špičkách jde ale o 8 až 13 Gbit.

„Jakmile naroste upload u domácích připojení, čekají nás problémy,“ říká Petrásek.

Také v Česku nás čeká vzestup podobných problémů. My máme zatím ‚výhodu‘ v pomalém uploadu u domácích ADSL připojení. Jakmile se ale situace změní a upload naroste řekněme na 10 Mbit, čekají nás nevyhnutelně stejné problémy, říká Petrásek. Navíc je pro běžného uživatele čím dál častější si podobný útok objednat. Na YouTube je spousta návodů radících s konkrétním postupem objednání i řízení botnetu. Svou roli tu hraje i nízká cena, kterou si může dovolit zaplatit prakticky kdokoliv. Dnes už není potřeba ani platit reálnými penězi, viděl jsem i nabídku umožňující zaplatit v Xbox Live bodech, říká Petrásek.

Přidává ještě nějaké ne příliš povzbudivé statistiky. Společnost Prolexic zveřejňuje na svém webu statistiky a podle nich se Česko a Slovensko umisťují do 50. místa podle množství počítačů v botnetech. Znamená to, že jenom v Česku máme asi 80 000 nakažených zombie počítačů. Je to paradoxní situace vzhledem k tomu, že Česko je považováno za antivirovou velmoc. Na vrcholu žebříčku jsou ale stabilně Čína, Rusko a Spojené státy.

Tím naše návštěva končí, opouštíme hučící sály a uzel plný optických vláken a zařízení na filtraci útoků. Kam máme zajet příště?

Našli jste v článku chybu?
120na80.cz: Běžecká lékárnička: jak si poradit?

Běžecká lékárnička: jak si poradit?

Vitalia.cz: 5 porcí ovoce a zeleniny: no ale jak na to?

5 porcí ovoce a zeleniny: no ale jak na to?

Měšec.cz: Cestujte bez starostí, získejte výhodné pojištění

Cestujte bez starostí, získejte výhodné pojištění

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Podnikatel.cz: Neuvěříte, ale EET má pro podnikatele i výhody
MarketVoice

Neuvěříte, ale EET má pro podnikatele i výhody

Podnikatel.cz: "Okurku" vyřeší slevové servery. Už jim věřte

"Okurku" vyřeší slevové servery. Už jim věřte

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

Lupa.cz: eIDAS je tu. O co přijdeme u elektronických podpisů?

eIDAS je tu. O co přijdeme u elektronických podpisů?

Podnikatel.cz: Jeho dřevěné hodinky chtějí na všech kontinentech

Jeho dřevěné hodinky chtějí na všech kontinentech

DigiZone.cz: Skylink: Nova Sport volně

Skylink: Nova Sport volně

DigiZone.cz: Krajské televize na okraji zájmu?

Krajské televize na okraji zájmu?

DigiZone.cz: ČT veze bronz z klání televizní grafiky

ČT veze bronz z klání televizní grafiky

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Podnikatel.cz: Oblíbené Babišovo reverse charge. Potopilo je?

Oblíbené Babišovo reverse charge. Potopilo je?

DigiZone.cz: Soud zakázal šíření TV Markíza v ČR

Soud zakázal šíření TV Markíza v ČR

Root.cz: Střílejte v obýváku, stačí kamera a projektor

Střílejte v obýváku, stačí kamera a projektor

DigiZone.cz: Skylink zapojil nový transpondér

Skylink zapojil nový transpondér

Vitalia.cz: Máte chutě? Nejezděte do světa, ale do Dobřichovic

Máte chutě? Nejezděte do světa, ale do Dobřichovic

Vitalia.cz: Epidemie: Klíšťová encefalitida po ovčím sýru

Epidemie: Klíšťová encefalitida po ovčím sýru

DigiZone.cz: Nova: technické pauzy každé 1. pondělí

Nova: technické pauzy každé 1. pondělí