Jak se stará peeringové centrum o bezpečnost dat, která přes něj tečou?
Snažíme se plnit především svůj hlavní úkol – doručit data, která k nám přišla. To je náš primární úkol. Samozřejmě to monitorujeme a snažíme se je zabezpečit jak umíme, ale přenášíme ohromné množství dat. Proto je technicky problém určit, co je útok a co by bylo vhodné nějak filtrovat.
Takže se filtrací vůbec nezabýváte?
Do letošního roku byl postoj NIXu takový, že odbavujeme vše, co k nám přijde. Musíme hlavně zajistit transport dat. To je náš hlavní úkol.
Letos tedy došlo k nějaké změně postoje?
DDoS útoky z letošního března podnítily diskuse o tom, co by u nás bylo a nebylo možné v tomto směru podniknout.
K čemu ty diskuse dospěly?
Došli jsme k tomu, že bychom měli svým zákazníkům doporučovat standard BCP38. Ten je z roku 2000 a doporučuje filtrovat odchozí provoz z vlastní sítě tak, aby nebylo možné například odesílat pakety s podvrženou hlavičkou odesílatele. Bohužel to stále není běžná věc a z našich členů má takové opatření nasazené jen několik málo firem.
Zmíněným českým březnovým útokům by to úplně zabránilo. Tedy v případě, že by takovou filtraci měli nasazenou všichni.
Seriál vznikl za přispění Národního CSIRT týmu České republiky CSIRT.CZ, který provozuje sdružení CZ.NIC, správce české národní domény. CSIRT.CZ je bezpečnostní tým pro koordinaci řešení bezpečnostních incidentů v počítačových sítích provozovaných v České republice. Cílem jeho členů je pomáhat provozovatelům internetových sítí v České republice zřizovat jejich vlastní bezpečnostní týmy a bezpečnostní infrastrukturu, řešit bezpečnostní incidenty a tím zlepšovat bezpečnost jejich sítí i globálního Internetu.
Můžete něco podobného nasadit na své straně? Kontrolovat, zda provoz z té které sítě má správné parametry?
To nemůžeme. Jen samotný provozovatel sítě přesně ví, koho dalšího má za sebou. Pokud se k němu připojí nová síť, začne k nám od něj chodit provoz i z této sítě. Máme k sobě připojené tranzitní sítě, které mají stovky i tisíce svých zákazníků. Nemáme jak sledovat, kdo všechno je někde ve světě kam připojený. Když si pak takový velký poskytovatel podepíše nějakou smlouvu s firmou v Asii, měli bychom aktualizovat my v Česku svá pravidla pro jejich provoz. To není možné. Proto to musí dělat firmy samotné.
Něco dalšího se tedy udělat nedá?
Bavili jsme se i o dalších možnostech, ale ty jsou zatím ve fázi testování či dokonce úvah. Důležité je, že se NIX.CZ nechce dostat do pozice, kdy bude rozhodovat, co je dobrý provoz a co špatný. Museli bychom na základě nějakých požadavků blokovat část provozu a pak nějak zjišťovat, jestli ještě nebezpečí trvá nebo už blokace požírá regulérní data. Tohle dělat nechceme.
Našim cílem by v takovém případě bylo zajistit, aby si jednotliví naši zákazníci mohli podobnou filtraci regulovat sami. Mohli by si třeba poslat nějakou speciální BGP komunitu, což by ovlivnilo chování NIXu pro ně. Ne pro někoho jiného. Zatím ale na nic podobného nemáme žádné schéma a budou se tím zabývat ještě naše pracovní skupiny.
Takže by si každý, kdo je připojený do NIXu, mohl vypínat určitý provoz?
Problém je, že to není tak jednoduché. V případě nedávných DDoS útoků třeba přicházel provoz od jedné firmy z Ruska. Ozývaly se hlasy, ať ji depeerujeme, tedy shodíme její port. Jenže co by se stalo? Provoz by se přelil na jiný port nebo by se začal do cílové sítě dostávat přes zahraniční konektivitu, tedy úplně mimo NIX, a zahltil by drahé zahraniční linky. Odpojení tudíž není řešení.
Co se s tím tedy dá dělat?
Náš současný hardware neumožňuje filtrovat konkrétní provoz, a takový, který by to umožňoval, bychom plně nevyužili. Ale snad by bylo možné nastavit, aby byl konkrétní provoz směřován jinam.
Vyrobila by se pro něj „černá díra“?
Přesně tak. Z hlediska provozu by bylo všechno v pořádku a nedošlo by k jeho přesměrování. Zatím to ale nemáme otestované, protože se to na velkých objemech těžko simuluje.
Jak se to řeší v zahraničí?
Samozřejmě komunikujeme s ostatními uzly a většinový postoj je ten, že se o to zajímat nechtějí. Jejich práce je odbavit data a bezpečnost by měla zůstat na straně zákazníka nebo člena. Doporučují jim jen, ať si pořídí lepší konektivitu, která zvýšení provozu zvládne a na koncové síti je pak možné dělat filtraci.
To je ale podobný přístup, který chce prosazovat NIX.CZ. Pravidla si nastavujte sami.
To je ještě o kus méně. My jim chceme alespoň nabídnout možnost filtraci provést venku, aby se vůbec nedostala na linku a nesaturovala ji. Oni naopak tvrdí, že velká společnost s dobrým renomé má dostatečné linky dimenzované i na útoky. Taková společnost je pak schopná všechna data přijmout a filtrovat je u sebe bez toho, aby se spoléhala na někoho jiného. Při útoku se pak projeví, zda se na linkách šetřilo nebo ne.
To je ovšem jiný způsob, jak dát od věci ruce pryč.
Uzly se budou vždycky snažit být neutrální. Je pro ně úplně nejlepší, když si tyhle věci řeší zákazník sám.
Hraje tu svou roli i strach o „cenzurování internetu“? Aby si nikdo nemohl říct: „NIX rozhoduje, co projde a co ne“?
Spíš se uzly nechtějí dostat do situace, kdy jim někdo nahlásí útok, ony zapnou filtry a tím zruší legitimní provoz. Třeba když se hraje hokej a hodně lidí na něj kouká online, děje se na síti spousta věcí, které se můžou jevit jako útok. Uzel si nemůže dovolit udělat chybu a na něčí žádost takový provoz zastavit.
Čili cílem je zůstat neutrální a zodpovědnost pak padá na hlavu zdrojové síti?
Zodpovědnost padá na hlavu tomu, od koho problémový provoz přichází. Tedy v ideálním světě, kde se poskytovatelé za sebou nevětví. To celou věc výrazně komplikuje, protože náš zákazník připojuje dalšího svého zákazníka a ten dalšího. Takhle to jde klidně do páté úrovně. Dejme tomu, že do NIXu jsou připojeni Portugalci, ti ale prodávají konektivitu řekněme Maročanům a ti ji přes Egypt poskytnou dále do Asie. Tam se ještě může kapacita přeprodat několikrát v rámci států. K nám pak přichází útok z portugalské sítě, která ale vůbec není jeho zdrojem.
Ideální by tedy bylo, kdyby všechny sítě filtrovaly odchozí provoz?
Ano, ale to znamená mít pořádek ve svých zákaznících a sledovat, jaký legitimní provoz od nich může přicházet. Pak je tu ještě jedna možnost: teoreticky by se všechny sítě používající filtraci podle BCP38 mohly domluvit a spojit se v NIXu do jedné VLAN. Pak by věděly, že v tomhle prostoru je bezpečněji.
Jakou výhodu by měl takto „ověřený“ provoz?
Byl by důvěryhodnější a zamezil by útokům využívající podvržené adresy. V rámci této sítě by také mohl celkem efektivně fungovat „kontaktlist“ na kompetentní techniky. Problém je často v tom, že když vám přichází útok z asijské sítě a vy to zjistíte ve tři odpoledne, oni mají dávno po pracovní době. Může se tak stát, že následujících šestnáct hodin nikoho neseženete. Na internetu musíte vždycky počítat s tím, že můžete řešit problém na druhé straně zeměkoule.
Děkuji za rozhovor.
