Hlavní navigace

Šest organizací se v NIX.CZ spojilo do Bezpečné VLAN

3. 2. 2014
Doba čtení: 6 minut

Sdílet

Šest společností se připojilo v peeringovém centru do takzvané Bezpečné VLAN. Tento virtuální propojovací bod zajistí v případě vážného ohrožení české infrastruktury alespoň základní komunikaci mezi uživateli a důležitými službami. Kdo se zapojil? Jak přesně je síť chráněna? A jak to ovlivní český internet?

Dnes byla v rámci peeringového centra NIX.CZ oficiálně založena takzvaná Bezpečná VLAN. Na začátku se do ní připojilo šest společností: ACTIVE 24, CESNET, CZ.NIC, Dial Telecom, Seznam.cz a Telefónica ČR. Další budou snad brzy přibývat. Tyto firmy se zaručily dodržovat určité přísné bezpečnostní standardy, které by měly zaručit čisté prostředí pokud možno bez útoků napříč sítí.

Co je Bezpečná VLAN?

Projekt Bezpečná VLAN vznikl na půdě sdružení NIX.CZ, českého propojovacího uzlu, a je reakcí především na intenzivní DoS útoky z března minulého roku. Jeho cílem je lépe čelit útokům typu DoS a DDoS, které míří na internetové služby populární v České republice. Společnosti zapojené do projektu Bezpečná VLAN svým vstupem jasně ukazují, že mají zájem na zvýšení síťové bezpečnosti v této zemi a tedy i na větším bezpečí svých zákazníků. Na vstup do projektu se již nyní připravují další subjekty, píše se v oficiálním oznámení NIX.CZ.

O možnosti vzniku tohoto virtuálního propojovacího uzlu nám poprvé řekl během rozhovoru v květnu loňského roku Adam Golecký, technický ředitel sdružení NIX.CZ: Pak je tu ještě jedna možnost: teoreticky by se všechny sítě používající filtraci podle BCP38 mohly domluvit a spojit se v NIXu do jedné VLAN. Pak by věděly, že v tomhle prostoru je bezpečněji.

Adam Golecký nám také vysvětlil, co je to standard BCP38 a jak pomůže zvýšit bezpečnost sítí: Ten je z roku 2000 a doporučuje filtrovat odchozí provoz z vlastní sítě tak, aby nebylo možné například odesílat pakety s podvrženou hlavičkou odesílatele. Bohužel to stále není běžná věc a z našich členů má takové opatření nasazené jen několik málo firem.

Takto vytvořený prostor by byl podle Goleckého prověřený jak po technické, tak i po personální stránce: Byl by důvěryhodnější a zamezil by útokům využívající podvržené adresy. V rámci této sítě by také mohl celkem efektivně fungovat ‚kontaktlist‘ na kompetentní techniky.

Do detailů byl tento plán rozpracován během léta a v říjnu byl prezentován na pracovní skupině NIX.CZ: Je to snaha vytvořit skupinu operátorů, kteří si víc věří a ti by mohli v rámci NIX mohli využívat samostatnou VLAN. V případě velkého útoku by se pak mohli odpojit a komunikovat jen mezi sebou, řekl tehdy Ondřej Filip, otec celé myšlenky Bezpečné VLAN.

V říjnu byly také nastíněny požadavky, které by musela splňovat organizace, která by se do této VLAN chtěla zapojit: kromě zmíněného dodržování BCP38 by musela také prokázat aktivitu při řešení bezpečnostních incidentů, dobrou pověst, redundanci sítě, aktuální a funkční kontakty, podporu RTBH, funkční routing bez problémů a podobně. Zaznělo také, že by pravidla měla být spíše přísnější, protože jejich dodatečné zpřísňování by bylo problematicky vynutitelné u už stávajících členů.

Členy Bezpečné VLAN se mohou stát pouze společnosti na vysoké technologické úrovni. Zájemce o vstup do projektu musí splnit celou řadu bezpečnostních podmínek a provést úpravy své sítě, jako je například obrana proti IP spoofingu. Ten je jednou z nejčastějších metod skrytí skutečného původce DoS útoku, dodává Adam Golecký.

Síť poslední záchrany

Bezpečná VLAN je vytvářena uvnitř NIX.CZ, ale její existence nijak neovlivní stávající provoz. Ať už jste v této skupině nebo ne, vaše připojení to neovlivní. Mělo by ale být garantováno, jak se budou sítě v této skupině chovat, protože jde o poslední bezpečný ostrůvek v případě velkého útoku, vysvětlil Ondřej Filip.

Myšlenka je taková, že pokud by došlo k masivnímu útoku na českou infrastrukturu, která by začala kolabovat, odpojí se členové Bezpečné VLAN od zbytku uzlu NIX.CZ a zůstanou propojeni jen mezi sebou – tedy s dalšími důvěryhodnými sítěmi. Buď budeme mít nějakou konektivitu, nebo vůbec žádnou, vysvětlil Ondřej Filip jednoduše cíl celé snahy.

Obrana proti útokům typu DoS, které se na začátku minulého roku dotkly snad všech uživatelů internetu v České republice, není snadná. Bezpečná VLAN je skutečně inovativní projekt, jehož smyslem je v případě napadení zajistit výměnu dat mezi subjekty, mezi nimiž panuje maximální důvěra. Vyžaduje poměrně propracované řešení ze strany všech zapojených subjektů. Takováto aktivita nemá ve světě obdoby, proto její vývoj sledují se zájmem také v zahraničí. Zákazníci společností podílejících se na projektu Bezpečná VLAN budou mít jistotu, že jim budou poskytovány služby i v případě skutečně mimořádných DoS útoků, dodává autor projektu Ondřej Filip.

Důležité je, že nebude existovat žádná „vyšší instance“, která rozhodne o tom, kdy je čas se uchýlit do Bezpečné VLAN. O odříznutí od zbytku internetu rozhodne každý její člen sám za sebe. Bezpečnou VLAN řídí sami její členové. Ti jsou nezávislí na NIX.CZ a mají naprostou autonomii v tom, jak se rozhodují, potvrzuje oznámení NIX.CZ.

Pokud dojde ke kolapsu celé sítě, měli by se alespoň uživatelé těchto prověřených operátorů dostat k základním službám – podat daňové přiznání, odeslat informace datovou schránkou, nahlédnout do katastru nemovitostí nebo se informovat o současné situaci. Český uživatel se dostane alespoň na stránky českých úřadů a webů. Pokud takový útok poběží několik dní v kuse, budeme rádi alespoň za část funkční konektivity, dodal Ondřej Filip.

První krok proběhl právě dnes

Protože přes NIX.CZ teče asi 60 % objemu dat českých uživatelů, mohlo by v kritické situaci být dostupné poměrně velké množství služeb. Pro významné množství společností sdružených v NIX.CZ jsou pochopitelně klíčoví čeští uživatelé, kteří mohou díky útokům přijít o možnost připojit se k důležitým internetovým službám. V případě, že dojde k takovémuto útoku, může člen projektu upřednostňovat propojování prostřednictvím Bezpečné VLAN a svým zákazníkům nabízet dostupnost služeb díky ostatním subjektům sdruženým právě v Bezpečné VLAN. Toto je základní princip celého projektu, přibližuje Martin Semrád, ředitel sdružení NIX.CZ.

Pro firmy zapojené do Bezpečné VLAN by mělo jít o prestižní záležitost, která také bude konkurenční výhodou. Pevně věřím, že členství v tomto projektu bude důležité pro společnosti, které poskytují připojení významným službám a potřebují zabezpečit jejich provoz i v těch nejkritičtějších situacích. Pro řadu z nich bude tento krok znamenat finanční investice, které by se jim ale měly vrátit například v podobě marketingového potenciálu, který toto členství představuje, uvádí Martin Semrád.

root_podpora

Připojeno je zatím jen šest sítí z více než stovky, podle Adama Goleckého se ale zhruba desítka dalších už zajímá o členství. Některé z nich čekají na to, až se skupina začne skutečně formovat a pracovat. Nechtějí být pionýři, ale raději si počkají na reference, říká Golecký. Část z těchto společností také zatím nesplnila vstupní kritéria, která odsouhlasila zakládající skupina, dodává.

Jednou z podmínek je také doporučení od dvou stávajících členů. To by mělo zajistit prvek důvěryhodnosti mezi sítěmi v Bezpečné VLAN. Vstup je zavazuje k budoucí vzájemné spolupráci při řešení bezpečnostních incidentů, říká Golecký. Samotný vstup do VLAN nevyřeší všechny budoucí útoky, ale zkomplikuje je to a zároveň to zjednoduší komunikaci mezi společnostmi, aby bylo možné rychle vyjednat spolupráci a probíhající útok zastavit či omezit.

Byl pro vás článek přínosný?

Autor článku

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.