Šest organizací se v NIX.CZ spojilo do Bezpečné VLAN

Petr Krčmář 3. 2. 2014

Šest společností se připojilo v peeringovém centru do takzvané Bezpečné VLAN. Tento virtuální propojovací bod zajistí v případě vážného ohrožení české infrastruktury alespoň základní komunikaci mezi uživateli a důležitými službami. Kdo se zapojil? Jak přesně je síť chráněna? A jak to ovlivní český internet?

Dnes byla v rámci peeringového centra NIX.CZ oficiálně založena takzvaná Bezpečná VLAN. Na začátku se do ní připojilo šest společností: ACTIVE 24, CESNET, CZ.NIC, Dial Telecom, Seznam.cz a Telefónica ČR. Další budou snad brzy přibývat. Tyto firmy se zaručily dodržovat určité přísné bezpečnostní standardy, které by měly zaručit čisté prostředí pokud možno bez útoků napříč sítí.

Co je Bezpečná VLAN?

Projekt Bezpečná VLAN vznikl na půdě sdružení NIX.CZ, českého propojovacího uzlu, a je reakcí především na intenzivní DoS útoky z března minulého roku. Jeho cílem je lépe čelit útokům typu DoS a DDoS, které míří na internetové služby populární v České republice. Společnosti zapojené do projektu Bezpečná VLAN svým vstupem jasně ukazují, že mají zájem na zvýšení síťové bezpečnosti v této zemi a tedy i na větším bezpečí svých zákazníků. Na vstup do projektu se již nyní připravují další subjekty, píše se v oficiálním oznámení NIX.CZ.

O možnosti vzniku tohoto virtuálního propojovacího uzlu nám poprvé řekl během rozhovoru v květnu loňského roku Adam Golecký, technický ředitel sdružení NIX.CZ: Pak je tu ještě jedna možnost: teoreticky by se všechny sítě používající filtraci podle BCP38 mohly domluvit a spojit se v NIXu do jedné VLAN. Pak by věděly, že v tomhle prostoru je bezpečněji.

Adam Golecký nám také vysvětlil, co je to standard BCP38 a jak pomůže zvýšit bezpečnost sítí: Ten je z roku 2000 a doporučuje filtrovat odchozí provoz z vlastní sítě tak, aby nebylo možné například odesílat pakety s podvrženou hlavičkou odesílatele. Bohužel to stále není běžná věc a z našich členů má takové opatření nasazené jen několik málo firem.

Takto vytvořený prostor by byl podle Goleckého prověřený jak po technické, tak i po personální stránce: Byl by důvěryhodnější a zamezil by útokům využívající podvržené adresy. V rámci této sítě by také mohl celkem efektivně fungovat ‚kontaktlist‘ na kompetentní techniky.

Do detailů byl tento plán rozpracován během léta a v říjnu byl prezentován na pracovní skupině NIX.CZ: Je to snaha vytvořit skupinu operátorů, kteří si víc věří a ti by mohli v rámci NIX mohli využívat samostatnou VLAN. V případě velkého útoku by se pak mohli odpojit a komunikovat jen mezi sebou, řekl tehdy Ondřej Filip, otec celé myšlenky Bezpečné VLAN.

V říjnu byly také nastíněny požadavky, které by musela splňovat organizace, která by se do této VLAN chtěla zapojit: kromě zmíněného dodržování BCP38 by musela také prokázat aktivitu při řešení bezpečnostních incidentů, dobrou pověst, redundanci sítě, aktuální a funkční kontakty, podporu RTBH, funkční routing bez problémů a podobně. Zaznělo také, že by pravidla měla být spíše přísnější, protože jejich dodatečné zpřísňování by bylo problematicky vynutitelné u už stávajících členů.

Členy Bezpečné VLAN se mohou stát pouze společnosti na vysoké technologické úrovni. Zájemce o vstup do projektu musí splnit celou řadu bezpečnostních podmínek a provést úpravy své sítě, jako je například obrana proti IP spoofingu. Ten je jednou z nejčastějších metod skrytí skutečného původce DoS útoku, dodává Adam Golecký.

Síť poslední záchrany

Bezpečná VLAN je vytvářena uvnitř NIX.CZ, ale její existence nijak neovlivní stávající provoz. Ať už jste v této skupině nebo ne, vaše připojení to neovlivní. Mělo by ale být garantováno, jak se budou sítě v této skupině chovat, protože jde o poslední bezpečný ostrůvek v případě velkého útoku, vysvětlil Ondřej Filip.

Myšlenka je taková, že pokud by došlo k masivnímu útoku na českou infrastrukturu, která by začala kolabovat, odpojí se členové Bezpečné VLAN od zbytku uzlu NIX.CZ a zůstanou propojeni jen mezi sebou – tedy s dalšími důvěryhodnými sítěmi. Buď budeme mít nějakou konektivitu, nebo vůbec žádnou, vysvětlil Ondřej Filip jednoduše cíl celé snahy.

Obrana proti útokům typu DoS, které se na začátku minulého roku dotkly snad všech uživatelů internetu v České republice, není snadná. Bezpečná VLAN je skutečně inovativní projekt, jehož smyslem je v případě napadení zajistit výměnu dat mezi subjekty, mezi nimiž panuje maximální důvěra. Vyžaduje poměrně propracované řešení ze strany všech zapojených subjektů. Takováto aktivita nemá ve světě obdoby, proto její vývoj sledují se zájmem také v zahraničí. Zákazníci společností podílejících se na projektu Bezpečná VLAN budou mít jistotu, že jim budou poskytovány služby i v případě skutečně mimořádných DoS útoků, dodává autor projektu Ondřej Filip.

Důležité je, že nebude existovat žádná „vyšší instance“, která rozhodne o tom, kdy je čas se uchýlit do Bezpečné VLAN. O odříznutí od zbytku internetu rozhodne každý její člen sám za sebe. Bezpečnou VLAN řídí sami její členové. Ti jsou nezávislí na NIX.CZ a mají naprostou autonomii v tom, jak se rozhodují, potvrzuje oznámení NIX.CZ.

Pokud dojde ke kolapsu celé sítě, měli by se alespoň uživatelé těchto prověřených operátorů dostat k základním službám – podat daňové přiznání, odeslat informace datovou schránkou, nahlédnout do katastru nemovitostí nebo se informovat o současné situaci. Český uživatel se dostane alespoň na stránky českých úřadů a webů. Pokud takový útok poběží několik dní v kuse, budeme rádi alespoň za část funkční konektivity, dodal Ondřej Filip.

První krok proběhl právě dnes

Protože přes NIX.CZ teče asi 60 % objemu dat českých uživatelů, mohlo by v kritické situaci být dostupné poměrně velké množství služeb. Pro významné množství společností sdružených v NIX.CZ jsou pochopitelně klíčoví čeští uživatelé, kteří mohou díky útokům přijít o možnost připojit se k důležitým internetovým službám. V případě, že dojde k takovémuto útoku, může člen projektu upřednostňovat propojování prostřednictvím Bezpečné VLAN a svým zákazníkům nabízet dostupnost služeb díky ostatním subjektům sdruženým právě v Bezpečné VLAN. Toto je základní princip celého projektu, přibližuje Martin Semrád, ředitel sdružení NIX.CZ.

Pro firmy zapojené do Bezpečné VLAN by mělo jít o prestižní záležitost, která také bude konkurenční výhodou. Pevně věřím, že členství v tomto projektu bude důležité pro společnosti, které poskytují připojení významným službám a potřebují zabezpečit jejich provoz i v těch nejkritičtějších situacích. Pro řadu z nich bude tento krok znamenat finanční investice, které by se jim ale měly vrátit například v podobě marketingového potenciálu, který toto členství představuje, uvádí Martin Semrád.

Připojeno je zatím jen šest sítí z více než stovky, podle Adama Goleckého se ale zhruba desítka dalších už zajímá o členství. Některé z nich čekají na to, až se skupina začne skutečně formovat a pracovat. Nechtějí být pionýři, ale raději si počkají na reference, říká Golecký. Část z těchto společností také zatím nesplnila vstupní kritéria, která odsouhlasila zakládající skupina, dodává.

Jednou z podmínek je také doporučení od dvou stávajících členů. To by mělo zajistit prvek důvěryhodnosti mezi sítěmi v Bezpečné VLAN. Vstup je zavazuje k budoucí vzájemné spolupráci při řešení bezpečnostních incidentů, říká Golecký. Samotný vstup do VLAN nevyřeší všechny budoucí útoky, ale zkomplikuje je to a zároveň to zjednoduší komunikaci mezi společnostmi, aby bylo možné rychle vyjednat spolupráci a probíhající útok zastavit či omezit.

Ohodnoťte jako ve škole:

Průměrná známka 1,33

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
120na80.cz: Tady se vaří padělané léky

Tady se vaří padělané léky

Lupa.cz: Jak EET vidí ajťák aneb Drahá vražda UX

Jak EET vidí ajťák aneb Drahá vražda UX

DigiZone.cz: O2TV zve na souboj Ledecké s Myslivcovou

O2TV zve na souboj Ledecké s Myslivcovou

Podnikatel.cz: Paušální daň: Sociální, zdravotní v jednom

Paušální daň: Sociální, zdravotní v jednom

Podnikatel.cz: Šizený guláš na pultě. Jako Lidl to nedělejte

Šizený guláš na pultě. Jako Lidl to nedělejte

Podnikatel.cz: Proměny stavebnice Seva. Znáte ji?

Proměny stavebnice Seva. Znáte ji?

Vitalia.cz: Falšovaný salám v Kauflandu

Falšovaný salám v Kauflandu

120na80.cz: 5 triků, jak zastavit krvácení po holení

5 triků, jak zastavit krvácení po holení

DigiZone.cz: Šlágr TV: pokuta 100 tisíc za on-line

Šlágr TV: pokuta 100 tisíc za on-line

DigiZone.cz: Konec geoblokace? Ani náhodou…

Konec geoblokace? Ani náhodou…

DigiZone.cz: Kolik lidí sleduje hokej na webu ČT?

Kolik lidí sleduje hokej na webu ČT?

Vitalia.cz: Proč máme prasklý chléb nejraději?

Proč máme prasklý chléb nejraději?

DigiZone.cz: Stream představil souboj žroutů

Stream představil souboj žroutů

Vitalia.cz: Taky ji kupujete? Je šizená

Taky ji kupujete? Je šizená

Podnikatel.cz: Etický kodex firmy nezachrání

Etický kodex firmy nezachrání

Vitalia.cz: Tetanus v USA – i po odřeninách

Tetanus v USA – i po odřeninách

DigiZone.cz: Rádio Retro spouští stream o Karlu IV.

Rádio Retro spouští stream o Karlu IV.

Podnikatel.cz: Konečně vývar. Skoro jako od Steva Jobse

Konečně vývar. Skoro jako od Steva Jobse

DigiZone.cz: Šlágr TV dostala pokutu 100 000 Kč

Šlágr TV dostala pokutu 100 000 Kč

DigiZone.cz: Změní se veřejnoprávní status ČT?

Změní se veřejnoprávní status ČT?