Hlavní navigace

Adam Golecký, NIX.CZ: nechceme rozhodovat o dobrém a špatném provozu

Petr Krčmář 20. 5. 2013

NIX.CZ je největším českým peeringovým uzlem a spojuje se v něm více než stovka různých sítí. Ve špičkách tudy teče 200 Gbps datového provozu. Často jde o různé velké DDoS útoky a mnozí volají po tom, že by právě NIX měl těmto problémům předcházet a čelit jim. Jaké má peeringové centrum možnosti?

Jak se stará peeringové centrum o bezpečnost dat, která přes něj tečou?

Snažíme se plnit především svůj hlavní úkol – doručit data, která k nám přišla. To je náš primární úkol. Samozřejmě to monitorujeme a snažíme se je zabezpečit jak umíme, ale přenášíme ohromné množství dat. Proto je technicky problém určit, co je útok a co by bylo vhodné nějak filtrovat.

Takže se filtrací vůbec nezabýváte?

Do letošního roku byl postoj NIXu takový, že odbavujeme vše, co k nám přijde. Musíme hlavně zajistit transport dat. To je náš hlavní úkol.

Letos tedy došlo k nějaké změně postoje?

DDoS útoky z letošního března podnítily diskuse o tom, co by u nás bylo a nebylo možné v tomto směru podniknout.

K čemu ty diskuse dospěly?

Došli jsme k tomu, že bychom měli svým zákazníkům doporučovat standard BCP38. Ten je z roku 2000 a doporučuje filtrovat odchozí provoz z vlastní sítě tak, aby nebylo možné například odesílat pakety s podvrženou hlavičkou odesílatele. Bohužel to stále není běžná věc a z našich členů má takové opatření nasazené jen několik málo firem.

Zmíněným českým březnovým útokům by to úplně zabránilo. Tedy v případě, že by takovou filtraci měli nasazenou všichni.

Seriál vznikl za přispění Národního CSIRT týmu České republiky CSIRT.CZ, který provozuje sdružení CZ.NIC, správce české národní domény. CSIRT.CZ je bezpečnostní tým pro koordinaci řešení bezpečnostních incidentů v počítačových sítích provozovaných v České republice. Cílem jeho členů je pomáhat provozovatelům internetových sítí v České republice zřizovat jejich vlastní bezpečnostní týmy a bezpečnostní infrastrukturu, řešit bezpečnostní incidenty a tím zlepšovat bezpečnost jejich sítí i globálního Internetu.

Můžete něco podobného nasadit na své straně? Kontrolovat, zda provoz z té které sítě má správné parametry?

To nemůžeme. Jen samotný provozovatel sítě přesně ví, koho dalšího má za sebou. Pokud se k němu připojí nová síť, začne k nám od něj chodit provoz i z této sítě. Máme k sobě připojené tranzitní sítě, které mají stovky i tisíce svých zákazníků. Nemáme jak sledovat, kdo všechno je někde ve světě kam připojený. Když si pak takový velký poskytovatel podepíše nějakou smlouvu s firmou v Asii, měli bychom aktualizovat my v Česku svá pravidla pro jejich provoz. To není možné. Proto to musí dělat firmy samotné.

Něco dalšího se tedy udělat nedá?

Bavili jsme se i o dalších možnostech, ale ty jsou zatím ve fázi testování či dokonce úvah. Důležité je, že se NIX.CZ nechce dostat do pozice, kdy bude rozhodovat, co je dobrý provoz a co špatný. Museli bychom na základě nějakých požadavků blokovat část provozu a pak nějak zjišťovat, jestli ještě nebezpečí trvá nebo už blokace požírá regulérní data. Tohle dělat nechceme.

Našim cílem by v takovém případě bylo zajistit, aby si jednotliví naši zákazníci mohli podobnou filtraci regulovat sami. Mohli by si třeba poslat nějakou speciální BGP komunitu, což by ovlivnilo chování NIXu pro ně. Ne pro někoho jiného. Zatím ale na nic podobného nemáme žádné schéma a budou se tím zabývat ještě naše pracovní skupiny.

Takže by si každý, kdo je připojený do NIXu, mohl vypínat určitý provoz?

Problém je, že to není tak jednoduché. V případě nedávných DDoS útoků třeba přicházel provoz od jedné firmy z Ruska. Ozývaly se hlasy, ať ji depeerujeme, tedy shodíme její port. Jenže co by se stalo? Provoz by se přelil na jiný port nebo by se začal do cílové sítě dostávat přes zahraniční konektivitu, tedy úplně mimo NIX, a zahltil by drahé zahraniční linky. Odpojení tudíž není řešení.

Co se s tím tedy dá dělat?

Náš současný hardware neumožňuje filtrovat konkrétní provoz, a takový, který by to umožňoval, bychom plně nevyužili. Ale snad by bylo možné nastavit, aby byl konkrétní provoz směřován jinam.

Vyrobila by se pro něj „černá díra“?

Přesně tak. Z hlediska provozu by bylo všechno v pořádku a nedošlo by k jeho přesměrování. Zatím to ale nemáme otestované, protože se to na velkých objemech těžko simuluje.

Jak se to řeší v zahraničí?

Samozřejmě komunikujeme s ostatními uzly a většinový postoj je ten, že se o to zajímat nechtějí. Jejich práce je odbavit data a bezpečnost by měla zůstat na straně zákazníka nebo člena. Doporučují jim jen, ať si pořídí lepší konektivitu, která zvýšení provozu zvládne a na koncové síti je pak možné dělat filtraci.

To je ale podobný přístup, který chce prosazovat NIX.CZ. Pravidla si nastavujte sami.

To je ještě o kus méně. My jim chceme alespoň nabídnout možnost filtraci provést venku, aby se vůbec nedostala na linku a nesaturovala ji. Oni naopak tvrdí, že velká společnost s dobrým renomé má dostatečné linky dimenzované i na útoky. Taková společnost je pak schopná všechna data přijmout a filtrovat je u sebe bez toho, aby se spoléhala na někoho jiného. Při útoku se pak projeví, zda se na linkách šetřilo nebo ne.

To je ovšem jiný způsob, jak dát od věci ruce pryč.

Uzly se budou vždycky snažit být neutrální. Je pro ně úplně nejlepší, když si tyhle věci řeší zákazník sám.

Hraje tu svou roli i strach o „cenzurování internetu“? Aby si nikdo nemohl říct: „NIX rozhoduje, co projde a co ne“?

Spíš se uzly nechtějí dostat do situace, kdy jim někdo nahlásí útok, ony zapnou filtry a tím zruší legitimní provoz. Třeba když se hraje hokej a hodně lidí na něj kouká online, děje se na síti spousta věcí, které se můžou jevit jako útok. Uzel si nemůže dovolit udělat chybu a na něčí žádost takový provoz zastavit.

Čili cílem je zůstat neutrální a zodpovědnost pak padá na hlavu zdrojové síti?

Zodpovědnost padá na hlavu tomu, od koho problémový provoz přichází. Tedy v ideálním světě, kde se poskytovatelé za sebou nevětví. To celou věc výrazně komplikuje, protože náš zákazník připojuje dalšího svého zákazníka a ten dalšího. Takhle to jde klidně do páté úrovně. Dejme tomu, že do NIXu jsou připojeni Portugalci, ti ale prodávají konektivitu řekněme Maročanům a ti ji přes Egypt poskytnou dále do Asie. Tam se ještě může kapacita přeprodat několikrát v rámci států. K nám pak přichází útok z portugalské sítě, která ale vůbec není jeho zdrojem.

Ideální by tedy bylo, kdyby všechny sítě filtrovaly odchozí provoz?

Ano, ale to znamená mít pořádek ve svých zákaznících a sledovat, jaký legitimní provoz od nich může přicházet. Pak je tu ještě jedna možnost: teoreticky by se všechny sítě používající filtraci podle BCP38 mohly domluvit a spojit se v NIXu do jedné VLAN. Pak by věděly, že v tomhle prostoru je bezpečněji.

Jakou výhodu by měl takto „ověřený“ provoz?

Byl by důvěryhodnější a zamezil by útokům využívající podvržené adresy. V rámci této sítě by také mohl celkem efektivně fungovat „kontaktlist“ na kompetentní techniky. Problém je často v tom, že když vám přichází útok z asijské sítě a vy to zjistíte ve tři odpoledne, oni mají dávno po pracovní době. Může se tak stát, že následujících šestnáct hodin nikoho neseženete. Na internetu musíte vždycky počítat s tím, že můžete řešit problém na druhé straně zeměkoule.

Děkuji za rozhovor.

Našli jste v článku chybu?

20. 5. 2013 10:17

b (neregistrovaný)

NIX se ma starat o to, k cemu byl zalozen, zacne to filtrovanim DDoS a pokracovat to bude filtrovanim dalsiho noeophodlneho provozu pod hlavickou nasi bezpecnosti, nasich deti, babicek,.....

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Podnikatel.cz: Babiš: E-shopy z EET možná vyjmeme

Babiš: E-shopy z EET možná vyjmeme

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC